Dette er anden artikel i en serie af fem som alle omhandler NEO-modellen. NEO-modellen er en enkel model, som er skabt med det formål at man skal kunne komme hele vejen rundt om compliance – hurtigt og uden at det koster for meget arbejdstid.  

Læs artiklen og lær hvordan du afdækker din virksomheds behov for compliance.

Du har ansvaret for virksomhedens compliance. Enten fordi du har fået opgaven af din ledelse eller fordi du er ledelsen. Før du for alvor tager fat på de konkrete opgaver, så gør du klogt i at stoppe op og forstå dine omgivelser.

De færreste virksomheder har uanede ressourcer. Derfor beskæftiger de sig helst ikke med opgaver der ikke virker relevante. Det gælder sådan set os alle sammen –  vi skal prioritere og vælge vores indsats med omhu, og det vi beskæftiger os med skal helst give mening!

Et eksempel er den EU’s nye persondataforordning: vi er mange der har forstået at de nye persondataregler kan bringe os i alvorlige vanskeligheder, hvis reglerne ikke overholdes. Udsigten til store bøder (”op til 4 % af virksomhedens omsætning,” som det hedder) og risikoen for dårlig omtale hjælper os til blindt at opprioritere persondata-compliance.

Ingen kan være i tvivl om, at det giver mening at reagere på forordningen og gøre noget  – og meget snart. Men hvad og hvor meget, er der helt konkret behov for? Er der behov for hele pakken eller blot den halve? Hvilke andre compliance-områder bør der tages hånd om? Hvem skal gøre det? Og hvordan sikres opbakning og forankring i virksomheden?

Det er nogle af de spørgsmål, Behovsfasen i NEO-modellen hjælper dig med at finde svar på. Billedet øverst viser de punkter, du skal igennem i Behovsfasen.

Styregruppe – hvem beslutter, hvem bakker op, hvem betaler

Du har brug for støtte til virksomhedens compliance-indsats. Foreslå ledelsen en styregruppe – gerne etablering af en lille, tværfaglig og effektiv gruppe. Husk at inddrage forretningen, typisk salg eller service. Styregruppen skal kunne træffe de overordnede beslutninger om hvad der skal gøres samt i hvilken rækkefølge og i hvilket omfang.

Få desuden udpeget en compliance-ansvarlig. En, der kan udvikle compliance-tilgangen i takt med virksomhedens modenhed. Hvis det er dig der er ansvarlig, så lad os komme videre.

Udarbejd en beskrivelse for styregruppen – et såkaldt charter. Beskriv hvad styregruppen skal og må, hvordan den er sammensat (roller og ansvar) og hvordan den arbejder (møder, planer osv.).

Sammen med et charter kan der med fordel udarbejdes en årsplan. En årsplan er en enkel oversigt, som viser hvilke emner og opgaver der behandles hvornår på året. Årsplanen sikrer at styregruppen kommer alt igennem på de rigtige tidspunkter.

Skriv din e-mail i kommentarsporet, hvis ønsker at få tilsendt et eksempel på en årsplan. 

Identifikation

 

Compliance-arbejdet går i bund og grund ud på at mindske risici til et acceptabelt niveau. Arbejdet tager derfor udgangspunkt i virksomhedens overordnede risikobillede og appetit (dvs. hvor stor en risiko virksomheden er villig til at løbe).

Man siger ofte at der er direkte sammenhæng mellem risiko og afkast. Stor risiko = stort afkast. Overført betyder det at hvis man kryber i ly i hjørnet og ikke ønsker at risikere noget, så er der også en risiko 😉 for et tilsvarende mindre overskud.

Har virksomheden en proces for risikostyring som fungerer, så brug den, dens værktøjer og ordbrug. Det skaber god sammenhæng og letter forståelsen i virksomheden.

Skab en oversigt over de compliancerisici, virksomheden er eksponeret for. De fleste virksomheder bør overveje følgende risici:

  • Intern adfærd – ansvarlighed og god praksis for medarbejdere og i organisationen
  • Forretningspartnere – fx sociale, etiske og miljømæssige forhold
  • Persondata – behandling af data om medarbejdere, kunder og andre fysiske personer
  • Korruption og bestikkelse
  • Konkurrenceret – fx karteller og ulovlige prisaftaler
  • Eksportkontrol – fx specialiserede produkter og ydelser eller salg til udvalgte geografier

Opbyg dernæst et personligt netværk og brug det. Når du taler og sparrer med dit netværk finder du sandsynligvis ud af, at andre står overfor de samme udfordringer, som du møder i dit arbejde. Suppler med input fra semi-webinarer og internettet (se eksempel her) og følg med i diverse compliance-nyhedsbreve.

Tilmeld dig nyhedsbrevet fra Timbed

Vurdering

Når du vurderer de identificerede risici, giver det mening at gøre det med forskellige briller. Med den faktuelle brille kan du se, om den enkelte risiko overhovedet er relevant. Her afdækkes de rationelle fakta som udgør fundamentet i vurderingen. Er virksomheden beskyttet af specifikke love eller regler? Er det afgrænset til udvalgte forretningsområder og i hvilket omfang?

Risikobrillen bruges til at vurdere sandsynligheden for at noget vil gå galt og hvor galt det i så fald kan gå. Her medtages fx antallet af og størrelsen på transaktioner, antal og type af medarbejdere samt geografisk og kulturel spredning. Det er ofte her, man skal finde manøvrerum for det fremtidige compliance-arbejde.

Med forretningsbrillen ses risici i lyset af virksomhedens værdier, strategi og mål. Er missionen at blive den foretrukne partner for håndtering af sundhedsdata, så trækker det risikoappetitten i en retning. Er strategien at vinde et marked i Afrika, så trækkes appetitten i en anden retning. Måske tilsiger værdierne en bestemt etik- og compliance-tilgang. Med denne brille vurderes de aspekter, virksomheden selv har indflydelse på og som i sidste ende er afgørende for valg af compliance-indsatsen.

Prioritering

Efter identifikation og vurdering af de forskellige risici, er det tid til det sidste led i processen – prioritering. Hvilke risici og compliance-indsatser trænger sig mest på? Er der aktuelle projekter eller forretningsmæssig udvikling der gør at bestemte områder med fordel kan adresseres nu?

Anvend al den viden, du har indsamlet, og udarbejdet og lav et forslag til en overordnet projektoversigt for virksomhedens compliance-indsats. Med en projektoversigt i hånden har du en fantastisk mulighed for tage et dyk ned i de forskellige områder og får mulighed for at spotte eventuel synergi og overlap. Er der fx på længere sigt behov for træning indenfor flere områder?

Eller er der processer som går igen og som måske kan genbruges på flere områder? Det er ikke sikkert at du får alt (eller noget) med i denne omgang, men det du spotter kan du bruge til at vurdere om der er nogle grundlæggende behov, der bør opfyldes før andre. Skal der etableres en solid onboardingproces i personaleafdelingen? Er der behov for et online træningssystem? ’Infrastruktur’-projekter som disse kan lette det fremtidige compliance-arbejde betydeligt.

Til sidst skal du tilrette oversigten og gøre den til en reel projektplan. Sæt tid på planen (det er ok at regne i uger eller måneder på dette niveau) og marker afhængigheder mellem de forskellige elementer i planen. Præsenter planen i styregruppen, lav eventuelle tilpasninger og få den fornødne opbakning til at gå i gang med de konkrete projekter. Nu – velovervejet, prioriteret og planlagt.

I næste artikel trækker vi for alvor i arbejdstøjet og tager fat på den Indsats, der skal til for at adressere en given compliance risiko.

Hvis du kunne lide denne artikel, så del eller skriv en kommentar og lad os det vide.

Vær sikker på at få hele serien og følg samtidig med når vi kommer med smarte, pragmatiske forslag til hvordan du kan blive endnu bedre til dit arbejde – Komplet. Ukompliceret. Compliance.

Tilmeld dig nyhedsbrevet fra Timbed