Der er flere måder at gribe et complianceprojekt an på. Fra udbredelse i hele organisationen til at lade enkelte personer løbe med stafetten.
Sådan opnår du en succesfuld implementering af dit complianceprojekt

Sådan opnår du en succesfuld implementering af dit complianceprojekt

Time Reading
10 minutters læsning
Compliance

En succesfuld implementering af alle complianceprojekter handler om langt mere end bare software. I virkeligheden er selve softwaren blot et system, der skal understøtte de processer og procedurer, der er nødvendige for, at en organisation kan kalde sig compliant.

Når det er sagt, skal de involverede medarbejdere naturligvis lære at navigere i compliancesystemerne, men rejsen mod en succesfuld implementering starter et helt andet sted. Nemlig med at kigge på graden af readiness; har organisationen eksempelvis afsat de rette mængder af ressourcer til opgaven, er der en eksisterende struktur, som understøtter arbejdet (fx rapporteringsveje) og er der udarbejdet politikker, der beskriver arbejdet med compliance? Og mindst lige så vigtigt – er der afsat tid til, at medarbejderne både kan løse deres nuværende opgaver samt bruge den nødvendige tid på implementering og læring?

Nedenstående skema giver et godt overblik over de spørgsmål, I med fordel kan stille internt for at afklare, om ressourcer og engagement er på plads.

 

 

‍Der findes ikke nogen nem vej, når ovenstående spørgsmål skal besvares. For at få succes med et complianceprojekt er det vigtigt, at forarbejdet er i orden – både for at sikre implementeringen, men også for at kunne måle på hvor vidt investeringen i compliance lever op til organisationens forventninger.

Det er altså ikke "bare" ressourcer og engagement, der skal være på plads, inden projektet påbegyndes. Det er også KPI'er. I den forbindelse kan I spørge jer selv, hvilket complianceniveau organisationen ønsker at opnå – fx:

  • Best in class (110%)
  • Nå i mål (95%)
  • Nå et vist niveau (75%)
  • Kun det basale (50%)

For nogle organisationer er det kun nødvendigt at forstå og integrere det mest basale – og måske er ressourcerne heller ikke til mere – mens det for andre er vigtigt at være blandt de bedste på området. Der er ikke noget rigtigt eller forkert. Det handler om at finde den løsning, der matcher organisationen både praktisk og økonomisk.

Tre måder at gribe implementeringen an på

Med ovenstående spørgsmål i baghovedet er der overordnet tre måder at gribe implementeringen af et complianceprojekt an på:

  • Udbredelse i hele organisationen
  • Udbredelse blandt kernemedarbejderne
  • Én eller få personer driver implementeringen.

Neden for dykker vi ned i de enkelte metoder og forklarer, hvordan I som organisation kommer bedst fra start, så I får det optimale udbytte af investeringen i compliancesoftware.

Udbredelse i hele organisationen

Ønsker I at drive en compliancekultur, der gennemsyrer selv de fjerneste kroge af organisationen, så er den brede løsning et oplagt valg. Her nedsættes en styregruppe, der har det overordnede ansvar for de beslutninger, der skal tages, og som sørger for, at regler og krav efterleves.

Men det er ikke styregruppen i sig selv, der skal løse de compliancerelaterede opgaver. Det skal den enkelte medarbejder, og derfor skal der udpeges en række forandringsagenter, som kan bistå med udbredelsen og forandringerne i de respektive afdelinger. Grundlæggende handler det om, at der skal uddelegeres en stor mængde ansvar, så den enkelte medarbejder tager ejerskab over egne handlinger, og så arbejdet med compliance bliver forankret helt ud i sidste led.

Udbredelse i hele organisationen sikrer, at der er mange hænder til at bære opgaven, men det er samtidig en løsning, der kræver meget struktur og en stor mængde rapportering frem og tilbage. For ikke at nævne læring hos den enkelte medarbejder. Det kræver en stor adfærdsændring at få rullet et system af denne karakter ud, og det skal forankres hele vejen fra ledelsesniveau til medarbejder; der skal skabes en compliancekultur i organisationen.

LÆS OGSÅ: Compliancekultur – hvordan driver du den forandring, der skal til?

Rolle- og ansvarsfordelingen er meget tydelig, når metoden med udbredelse i hele organisationen vælges. På øverste niveau sidder styregruppen, der blandt andet har ansvaret for at sikre, at:

  • politikker, procedurer og kontroller er forankret på rette niveau
  • der er fordelt de rette ressourcer til at løfte dokumentationsbyrden
  • artikel 30 fortegnelsen udfærdiges
  • eventuelle gaps nedbringes
  • databehandleraftaler er på plads samt at der føres tilsyn
  • organisationen har det rette fokus.

Herefter tager de udvalgte forandringsagenter over, og deres ansvar er blandt andet at sikre, at:

  • politikker og procedurer overholdes og efterleves
  • løbende kontroller samt reviews udføres
  • dokumentationen er korrekt
  • der iværksættes tilpasning ved organisationsændringer.

Til sidst er der den enkelte medarbejder, der skal tage ejerskab over opgaverne og sikre:

  • efterlevelse af politikker og procedurer (inkl. sign-off)
  • dokumentation og vedligeholdelse af behandlingsaktiviteter: spørgeskema, dataflows, input til gapanalyse etc.
  • udførelse af initiativer
  • udførelse af kontroller.

Udbredelse blandt kernemedarbejdere

Er ressourcerne ikke til at kanalisere complianceprojektet ud til hver enkelt medarbejder, er en anden mulighed at udpege en eller to kernemedarbejdere, som får det overordnede ansvar for organisationens arbejde med compliance.

Det er dog ikke kernemedarbejderne i sig selv, der skal løse opgaverne. De skal i stedet uddelegere driftsansvar til afdelingerne, der selv sikrer fremdriften. Modsat ovenstående metode til udbredelse er det ikke alle medarbejdere i afdelingen, der skal involveres – kun enkelte af slagsen. De udvalgte medarbejdere har således ansvaret for at indhente relevante oplysninger, sikre korrekt dokumenthåndtering og sørge for, at politikker og procedurer overholdes og efterleves.

Ejerskabet er på denne måde delt mellem afdelingerne og de overordnede ansvarlige, og du skærer dermed styregruppen samt antallet af involverede medarbejdere fra. Det betyder, at de opgaver, der før tilfaldt styregruppen, nu påhviler kernemedarbejderne, der har ansvar for at sikre, at:

  • politikker, procedurer og kontroller er forankret på rette niveau
  • der er fordelt de rette ressourcer til at løfte dokumentationsbyrden
  • artikel 30 fortegnelsen udfærdiges
  • eventuelle gaps nedbringes
  • databehandleraftaler er på plads samt at der føres tilsyn
  • organisationen har det rette fokuspolitikker og procedurer overholdes og efterleves
  • løbende kontroller samt reviews udføres
  • dokumentationen er korrekt
  • der iværksættes tilpasning ved organisationsændringer.

Det er stadig medarbejderne i afdelingen, der rent praktisk skal føre opgaverne ud i livet. Dog udpeges der ofte enkelte personer til at håndtere processerne.

Denne løsning kan være aktuel, hvis ressourcerne ikke rækker til den brede udbredelse, eller hvis ledelsen ikke ønsker at tage håndgribelig del i jagten på en succesfuld implementering af complianceprojektet. Dog er det værd at nævne, at i de organisationer hvor ledelsen er aktivt med inde over beslutningen og gerne vil afsætte de nødvendige ressourcer – ja, der udrulles implementeringen også hurtigere.

Én eller få personer driver implementeringen

I en organisation hvor der ikke er ressourcer til at lægge ansvaret for compliance over på hver enkelt medarbejder – eller en stor del af dem – kan en løsning være at udpege én person til at påtage sig ansvaret. Den udvalgte medarbejder kan rådføre sig eksternt med en jurist, når det er nødvendigt.

Det er selvsagt ikke muligt for denne ene person at løse alle complianceopgaver, da mange af dem – eksempelvis i forbindelse med GDPR – ligger hos de respektive medarbejdere. Vedkommendes opgave er i højere grad at tage på turné blandt medarbejderne for at lære dem, hvad de skal og ikke skal gøre, og i sidste ende hviler ansvaret på den person, der driver projektet.

Dokumentationsbyrden kan være tung for den udvalgte medarbejder, og den omfattende mængde af arbejde betyder i sagens natur, at det er helt essentielt at vælge den rette person til opgaven.

Ikke noget rigtigt eller forkert

Alle organisationer er forskellige. Nogle er store, andre er små. Nogle har en flad organisationsstruktur, andre har en hierarkisk. Nogle har mange medarbejdere både nationalt og internationalt, mens andre kun har få.

Af samme årsag er det ikke muligt at skære alle over én kam, når det kommer til implementering af et complianceprojekt. Hvad der er rigtigt for den ene organisation, kan være helt forkert for den anden. Det handler om at være pragmatisk og finde ud af, hvad der kan lade sig gøre; hvilke muligheder har organisationen, og hvilke ressourcer skal der til for at løse opgaven.

Samtidig er det essentielt at se ovenstående tre muligheder som pejlemærker. Det er ikke det endelige svar, og realiteten er den, at langt de fleste lander et sted midt imellem. Et sted hvor implementeringsprocessen er tilpasset og skræddersyet, så den matcher organisationens behov.

Det kræver en stor adfærdsændring at implementere et nyt system, og der er mange overvejelser, der bør går forud for indkøbet af software. Procedurer, processer og ansvar skal være på plads, og det samme skal ledelsesopbakningen – en succesfuld implementering starter nemlig i toppen.
Logo

Andre artikler

Få styr på organisationens ESG-risici

Time Reading
5 minutters læsning
ESG

Hvad er GRC, og hvilke fordele er der ved et godt GRC-program?

Time Reading
4 minutters læsning
GRC

Tre tendenser former arbejdet med compliance i 2022

Time Reading
4 minutters læsning
Compliance