Риск-ориентированный аудит процессов управления интеллектуальной собственностью

Управление рисками

Автор:
Источник: Ассоциация “Институт внутренних аудиторов”
Опубликовано: 16 сентября 2021


Авторы:

Людмила Карасева, CIA, начальник отдела риск-менеджмента производственной компании, член Ассоциации «Институт внутренних аудиторов»[1]

Галина Добрякова, д.ю.н., эксперт по защите инноваций

Сейчас мы можем представить компанию без недвижимости, оборудования и даже людей, но не можем представить ее без интеллектуальной собственности (далее – ИС). Все – начиная от исследований и разработок до маркетинговой активности – это работа с интеллектуальными результатами.

Игнорирование работы с интеллектуальной собственностью приводит к печальным последствиям. Сотрудники могут зарегистрировать за собой разработку и продать ее конкурентам, увезти интеллектуальную собственность на несколько миллиардов рублей за рубеж, создать на основе служебной разработки свой бизнес, а компании-подрядчики или патентные тролли[2] могут заблокировать реализацию на внутреннем и внешнем рынке.

Интеллектуальная собственность — это уже не только патенты и товарные знаки, как это было 50 лет назад. В настоящее время основной массив интеллектуальной собственности компании – более 80% – составляют объекты авторского права, с которыми корпоративный сектор только начинает работу и делает массу ошибок. Перед службами внутреннего аудита многих компаний сейчас ставится задача провести аудит сквозных процессов управления интеллектуальной собственностью, идентифицировать зоны, где процессы выстроены неэффективно, определить риски, которые угрожают бизнесу и предложить свои рекомендации по развитию практики работы с интеллектуальной собственностью в компании. Ввиду специфичности данной темы и относительной новизны для корпоративного сектора возникает множество вопросов по обучению сотрудников служб внутреннего аудита тонкостям данного направления и организации самого процесса аудита. В настоящей статье мы раскрыли ключевые риски в области ИС, современные и эффективные практики работы с рисками, дали рекомендации по проведению внутренней аудиторской проверки процессов управления интеллектуальной собственностью.

Ключевыми рисками в области ИС, если проводить классификацию по последствиям, являются:

  • утрата данных о НИОКР
  • утрата прав на внутреннюю ИТ-разработку
  • нарушение исключительного права третьих лиц
  • нарушение режима коммерческой тайны
  • снижение эффективности маркетинговых кампаний
  • препятствия или невозможность продаж и маркетинга на внешних рынках.

Утрата данных о НИОКР выбрана нами в качестве риска с самыми тяжелыми последствиями, поскольку утрата данных и прав на НИОКР приводит к полной утрате актива, в который вложены значительные ресурсы и развитие которого часто критически влияет на будущее компании и является ее стратегическим приоритетом.

Перечислим ключевые факторы риска утраты данных о НИОКР:

  1. Публикации сотрудников. Поскольку эффективность научных сотрудников и исследователей определяется индексом цитирования, они заинтересованы в публикационной активности. В данном случае обязательным является согласование любого раскрытия данных с юридическим блоком и службой информационной безопасности. Преждевременное раскрытие может привести не только к утрате данных, но и к регистрации конкурирующего патента, а также раскрытию патентной информации.
  2. Отсутствие системы учета заданий и полученных результатов НИОКР. Без должного контроля сотрудник может вести работу на своих компьютерах или в открытой среде, а это означает, что при его уходе из компании, результаты его интеллектуального труда могут быть потеряны для бизнеса.
  3. Отсутствие условий о создании служебных произведений в трудовом договоре. Часто корпоративные юристы игнорируют ст. 1295 ГК РФ и считают, что сотрудник, получая зарплату, по умолчанию передает работодателю результаты своего труда в виде интеллектуальной собственности, и не видят смысла в отражении в трудовом договоре условий о правах на служебные произведения. Правоприменительная практика говорит о том, что суды отказывают в исках о защите интеллектуальной собственности компаниям, которые не доказали принадлежность прав. Поэтому компания, намеревающаяся получить интеллектуальную собственность, должна в полной мере соблюдать нормы статьи 1295 ГК РФ. Для компании это означает заключение грамотного трудового договора с условиями о служебном произведении, постановку служебных заданий или актирование результатов, выплату вознаграждения по факту создания промежуточного или итогового результата, в зависимости от того, что предусмотрено договором. Поэтому задача внутреннего аудитора состоит в детальном анализе контрактов с сотрудниками, которые создают интеллектуальные результаты, в том числе результаты исследований.

Сейчас не только ИТ-компании, но и многие промышленные предприятия и холдинги инвестируют в собственную разработку или кастомизацию ИТ-продуктов.

Факторами риска утраты прав на внутреннюю ИТ-разработку, например, являются:

  • портфолио сотрудников на GitHub[3], содержащие код, разработанный в рамках исполнения ими должностных обязанностей,
  • внедрение и кастомизация стороннего ПО без должного изучения вопроса прав на интеллектуальную собственность,
  • привлечение подрядчиков без документального фиксирования вопросов управления правами на создаваемую или передаваемую интеллектуальную собственность или интеллектуальную собственность, к которой подрядчик получает доступ в ходе проекта.

Стоит отдельно рассмотреть комплаенс-риски в сфере интеллектуальной собственности, а именно: нарушение исключительного права третьих лиц. Среди них: использование результатов работы третьих лиц и подрядчиков, покупка технологии (стартапа) без проведения due diligence, использование ПО с открытым кодом или открытых библиотек с несоблюдением условий лицензирования.

При планировании аудита всей системы управления ИС стоит учесть, что отдельные элементы должны встречаться и быть должным образом настроены в следующих процессах:

  • юридическое сопровождение бизнеса
  • управление персоналом
  • бухгалтерский и налоговый учет
  • управленческий учет
  • проектное управление
  • система вознаграждения (KPI)
  • информационная безопасность (защита информации)
  • договорные отношения и взаимодействие с контрагентами
  • управление рисками и комплаенс

Также надо понимать, что для единой культуры управления интеллектуальной собственностью необходимо развивать коммуникации по этому вопросу; проводить обучение и тренинги персонала; контролировать и оценивать результаты; выстроить систему отчетности руководству; производить мониторинг, выявление и оценку возникающих рисков; разрабатывать и внедрять политики и процедуры; своевременно разрешать вопросы управления интеллектуальной собственностью при появлении новых процессов и технологий. Внутренний аудит в ходе аудиторской проверки должен удостовериться в наличии отдельных элементов системы в различных процессах и предложить элементы для внедрения и митигации идентифицированных в ходе аудита рисков.

Сейчас становится уже обязательной процедура глубокого анализа рисков в сфере интеллектуальной собственности (IP due diligence), которая включает в себя ряд последовательных шагов, направленных на выявление, анализ и оценку рисков:

  • создание паспорта технологии и выявление охраняемых элементов
  • проверка договоров с сотрудниками
  • проверка договоров с подрядчиками
  • проверка порядка учета интеллектуальных результатов
  • проверка порядка правовой охраны интеллектуальных результатов
  • проверка бренда (соответствие плану мероприятий по защите бренда)
  • проверка выполнения условий положения о коммерческой тайне.

В результате внутренний аудитор часто может дать системные рекомендации, сводящиеся к митигации рисков, а именно: организовать оформление и учет прав на результаты интеллектуальной деятельности (РИД) в системе, которая обеспечивает депонирование авторских прав с предоставлением свидетельств. Поскольку организовать учет охранных документов, как и действия по ним, значительно проще, чем вести учет договоров, служебных заданий и актов, это позволяет устранить следующие риски:

  • отсутствие в договоре условия о создании и передаче исключительного права на результаты интеллектуальной деятельности;
  • отсутствие документов, подтверждающих права;
  • отсутствие системы учета прав с возможностью посмотреть сам РИД и его охранный документ;
  • наличие устаревших или нерелевантных охранных документов в составе патентного портфеля;
  • отсутствие охранных документов в отношении ключевой технологии и ее компонентов.

Бизнес может управлять данными рисками на системном уровне, автоматизировав процессы управления ИС. Как правило, решается это либо собственной разработкой (доработкой функционала учетных систем или систем проектного управления) или подключением внешней специализированной системы. Например, внешняя специализированная система может включать в себя готовый процесс и дополнительные настройки для профессиональных участников, таких как аудитор, бухгалтер, юрист, нотариус и патентный поверенный. В автоматизированной облачной версии такие системы могут быть доступны малым предприятиям, а средний и крупный бизнес, как правило, устанавливает серверную версию системы для того, чтобы обеспечивать хранение документов во внутреннем контуре.

При этом обеспечивается цикл работы, необходимый для оформления права, а именно:

  1. Первая фаза – постановка задачи, служебного задания – подтверждается предоставлением результата. Он может быть в неготовом виде (для проверки и тестирования), но самое главное для целей аудита, что он (результат) уже появился в объективной форме. Это означает, что не нужно его искать или устанавливать его принадлежность.
  2. Вторая фаза – формирование документов, подтверждающих права, – осуществляется за счет автоматического формирования свидетельства о депонировании в соответствии со статьей 4,5 Бернской Конвенции и Типовыми положениями ЮНСИТРАЛ об электронной подписи. Это дает компании документ, обладающий статусом электронного доказательства для целей международного коммерческого арбитража судов внутри страны.
  3. Третья фаза – постановка на баланс – производится за счет модуля экспорта данных в систему учета. Таким образом обеспечивается единство сведений и защита от ошибки при ручном вводе данных и работы с первоисточниками (отчеты о НИОКР).

Таким образом, настройка документооборота сводится к подключению сотрудников и их хранилищ (систем и папок для хранения результатов) к внешней системе в облаке, либо серверной версии системы. Учет результатов происходит автоматизировано. Сотрудник, имеющий профессиональные компетенции и уровень доступа, может зайти и внести коррективы в название или состав авторов произведения, но не может повлиять на сами файлы (произведения) или изменить их форму или дату регистрации в системе – за счет встроенного функционала электронной цифровой подписи страны регистрации.

Это дает возможность компании учесть лучшие практики и минимизировать ручной труд, а также избежать ошибки ввода данных, которая допускается при ручном учете в распределенных реестрах, а также ручном вводе данных.

Современные подходы к построению эффективной системы управления объектами ИС изучались авторами на примере работы университетов (Финансовый университет и РУДН) с интеллектуальной собственностью и могут быть полезны как практические кейсы выстраивания бизнес-процессов в соответствии с лучшими практиками.

Ожидания к системе управления были сформулированы следующим образом: система управления должна обеспечивать сквозной учет прав на разработку, возможность формирования охранных документов, пространство личных кабинетов авторов, чтобы не создавать отдел со специалистами-документоведами, и максимальное сокращение бумажного документооборота. При этом репозиторий должен обеспечивать возможность определить конкретный результат с привязкой к охранному документу (свидетельству) и возможность импорта сведений в систему бухгалтерского учета для того, чтобы отразить объекты как НМА (нематериальные активы).

Интеллектуальная собственность была классифицирована на 2 непересекающихся блока, и определены специфические процедуры для каждого из типов ИС (блоков).

Блок №1 – Технология. ВУЗы проводят исследования, которые превращаются в отчеты или аналитические записки. Любая интеллектуальная работа предполагает интеллектуальный результат, который оформляется как «технология» (это не связано с возможностью получения патента; происходит оформление именно технологии, в режиме «единая технология»).

Очень быстро происходит достижение «потолка» по возможностям публикации результатов исследования, и для дальнейшего развития требуется внедрение технологии. Команда внедрения осуществляет доработку на стороне заказчика после того, как коммерческий заказчик подпишет договор на внедрение. Оплата университету происходит после того, как прошли внедрение и доработка. Это является дополнительным стимулом для разработки коммерчески привлекательных технологий. Руководитель творческого коллектива формирует команду внедрения для того, чтобы обеспечить доработку технологии.

Блок №2 - Конкретные прикладные результаты (образовательные, учебные курсы, учебные пособия, методические пособия, книги). Как правило, авторы склонны оформлять все права на себя, хотя это служебные произведения. Когда с преподавателем связывается издательство, он заключает двусторонний договор, по которому издательство издает учебники; при этом у ВУЗа не остается никаких прав, что требует новых инвестиций на закупку учебников и организацию подписок на платформы для получения доступа к электронным копиям и возможности создать онлайн-курс на основе этой интеллектуальной собственности. Именно поэтому в политике было предусмотрено, что права на интеллектуальные результаты принадлежат ВУЗу.

Для автоматизации процессов и обеспечения должной степени прозрачности было рекомендовано внедрение платформы регистрации, учета, хранения и управления ИС. В результате у университетов появилась техническая возможность оформления технологии и конкретных прикладных результатов, подготовки их описания еще до постановки на баланс без создания дополнительной нагрузки на бухгалтерию и финансовый блок. Один из авторов данной статьи также непосредственно курировал внедрение платформы. Помимо существенного снижения нагрузки с профессорско-преподавательского состава, отсутствия необходимости сбора отдельных комиссий для оценки результатов интеллектуальной деятельности с целью постановки на баланс, автоматизация учета прав на интеллектуальную собственность, позволяющая отслеживать все этапы разработки и создания РИД, дает возможность и внутренним аудиторам автоматизировать сбор информации о результатах интеллектуальной деятельности, существенно сократив трудоемкость данного аудита.


[1] Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением более чем 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций. Подробности на сайте www.iia-ru.ru

[2] Патентный тролль — физическое или юридическое лицо, специализирующееся на предъявлении патентных исков. Патентные тролли предпочитают называть себя патентными холдингами или патентными дилерами.

[3] GitHub — крупнейший веб-сервис для хостинга ИТ-проектов и их совместной разработки. Сервис бесплатен для проектов с открытым исходным кодом и (с 2019 года) небольших частных проектов.

Автор:

Теги: Институт внутренних аудиторов  риск-ориентированный аудит  интеллектуальная собственность  управление интеллектуальной собственностью  интеллектуальные результаты  авторское право  службы внутреннего аудита  внутренний ауди  ИС  НИОКР  ИТ-разработка  пате