En vellykket implementering av et compliance-prosjekt handler om mye mer enn bare programvare. I realiteten er programvaren i seg selv bare et system som støtter de prosessene og prosedyrene som er nødvendige for at en organisasjon skal kunne kalle seg compliant.
Når det er sagt, må de involverte medarbeiderne selvsagt lære seg å navigere i compliance-systemene, men veien mot en vellykket implementering starter et helt annet sted. For eksempel om organisasjonen har satt av nok ressurser til oppgaven, om det finnes en eksisterende struktur som understøtter arbeidet (f.eks. rapporteringsveier) og om det er utarbeidet retningslinjer som beskriver arbeidet med compliance. Og like viktig: Har de ansatte nok tid til både å utføre sine nåværende oppgaver og bruke den nødvendige tiden på implementering og opplæring?
Tabellen nedenfor gir en god oversikt over spørsmål du kan stille internt for å avklare om ressurser og engasjement er på plass.
Det finnes ingen enkel måte å besvare disse spørsmålene på. For å lykkes med et compliance-prosjekt er det viktig at grunnarbeidet er i orden - både for å sikre implementeringen, men også for å kunne måle om investeringen i compliance lever opp til organisasjonens forventninger.
Det er altså ikke "bare" ressurser og engasjement som må være på plass før prosjektet starter. Det er også KPI-er. I denne sammenhengen kan du spørre deg selv hvilket nivå av etterlevelse organisasjonen ønsker å oppnå - f.eks:
- Best i klassen (110 %)
- Nå målet (95 %)
- Oppnå et visst nivå (75 %)
- Bare det grunnleggende (50 %)
For noen organisasjoner er det kun nødvendig å forstå og integrere det grunnleggende - og kanskje er det alt de har av ressurser - mens det for andre er viktig å være best i klassen. Det finnes ikke noe riktig eller galt. Det handler om å finne en løsning som passer organisasjonen både praktisk og økonomisk.
Tre måter å tilnærme seg implementeringen på
Med spørsmålene ovenfor i bakhodet er det tre hovedmåter å tilnærme seg implementeringen av et compliance-prosjekt på:
- Utrulling i hele organisasjonen
- Spredt blant de viktigste medarbeiderne
- Én eller noen få personer driver implementeringen
Nedenfor går vi nærmere inn på hver metode og forklarer hvordan dere som organisasjon kan få den beste starten og mest mulig ut av investeringen i compliance-programvaren.
Implementering i hele organisasjonen
Hvis du ønsker å skape en compliance-kultur som gjennomsyrer hele organisasjonen, er den brede løsningen det åpenbare valget. Her opprettes det en styringsgruppe som har det overordnede ansvaret for de beslutningene som må tas, og som sørger for at regler og krav etterleves.
Det er imidlertid ikke styringsgruppen selv som skal løse de compliance-relaterte oppgavene. Det er opp til de enkelte medarbeiderne, og derfor må det utnevnes en rekke endringsagenter som skal bistå med utrullingen og endringene i de respektive avdelingene. I bunn og grunn handler det om å delegere en stor del av ansvaret slik at hver enkelt medarbeider tar eierskap til sine egne handlinger og slik at arbeidet med compliance er forankret hele veien.
Ved å spre det utover i organisasjonen sikrer man at det er mange hender til å utføre oppgaven, men det er også en løsning som krever mye struktur og mye rapportering frem og tilbake. For ikke å snakke om læring hos den enkelte medarbeider. Det krever en stor atferdsendring å rulle ut et slikt system, og det må forankres hele veien fra ledernivå til medarbeider; det må skapes en compliance-kultur i organisasjonen.
LES OGSÅ: Compliance-kultur - hvordan skaper du den endringen du trenger?
Rolle- og ansvarsfordelingen er svært tydelig når man velger den organisasjonsomfattende metoden. På øverste nivå finner vi styringsgruppen, som er ansvarlig for å sikre at:
- at retningslinjer, prosedyrer og kontroller er forankret på riktig nivå
- de riktige ressursene blir allokert for å oppfylle dokumentasjonsbyrden
- artikkel 30-inventariet er fullført
- eventuelle mangler minimeres
- databehandleravtaler er på plass og tilsyn er gjennomført
- organisasjonen har riktig fokus
Etter dette tar de utvalgte endringsagentene over, og de har blant annet ansvar for å sikre at:
- retningslinjer og prosedyrer følges og overholdes
- det gjennomføres løpende kontroller og gjennomganger
- dokumentasjonen er korrekt
- tilpasninger iverksettes ved organisatoriske endringer
Til slutt er det opp til den enkelte medarbeider å ta eierskap til oppgavene og sørge for følgende:
- Etterlevelse av retningslinjer og prosedyrer (inkludert godkjenning).
- Dokumentasjon og vedlikehold av behandlingsaktiviteter: spørreskjema, dataflyt, input til gap-analyse osv.
- Gjennomføring av tiltak
- Gjennomføring av kontroller
Formidling blant kjernemedarbeidere
Hvis det ikke er ressurser til å kanalisere compliance-prosjektet til hver enkelt medarbeider, er et annet alternativ å utpeke en eller to nøkkelmedarbeidere som skal ha det overordnede ansvaret for organisasjonens compliance-arbeid.
Det er imidlertid ikke kjernemedarbeiderne selv som skal utføre oppgavene. I stedet bør de delegere det operative ansvaret til avdelingene, som selv sørger for fremdriften. I motsetning til spredningsmetoden ovenfor trenger ikke alle ansatte i avdelingen å være involvert - bare noen få. De utvalgte medarbeiderne er ansvarlige for å samle inn relevant informasjon, sikre korrekt dokumenthåndtering og sørge for at retningslinjer og prosedyrer følges og etterleves.
På denne måten deles eierskapet mellom avdelingene og linjelederne, slik at styringsgruppen og antallet involverte medarbeidere reduseres. Det betyr at de oppgavene som tidligere lå hos styringsgruppen, nå ligger hos kjernemedarbeiderne, som er ansvarlige for å sikre at:
- retningslinjer, prosedyrer og kontroller er forankret på riktig nivå
- de riktige ressursene blir allokert for å oppfylle dokumentasjonsbyrden
- artikkel 30-inventaret er ferdigstilt
- eventuelle mangler minimeres
- databehandleravtaler er på plass og tilsyn utføres
- organisasjonen har riktig fokus på at retningslinjer og prosedyrer følges og etterleves
- det gjennomføres løpende kontroller og gjennomganger
- dokumentasjonen er korrekt
- justeringer iverksettes ved organisatoriske endringer
I praksis er det fortsatt de ansatte i avdelingen som er ansvarlige for å utføre oppgavene. Det utpekes imidlertid ofte enkeltpersoner til å håndtere prosessene.
Denne løsningen kan være relevant hvis ressursene ikke er tilstrekkelige til en bred utrulling, eller hvis ledelsen ikke ønsker å ta en konkret del i arbeidet for å sikre en vellykket implementering av compliance-prosjektet. Det er imidlertid verdt å nevne at i organisasjoner der ledelsen er aktivt involvert i beslutningen og villig til å bevilge de nødvendige ressursene, går implementeringen raskere.
Én eller noen få personer driver implementeringen
I en organisasjon der det ikke er ressurser til å legge ansvaret for etterlevelse på hver enkelt ansatt - eller et stort antall av dem - kan en løsning være å utnevne én person til å ta på seg ansvaret. Denne utpekte medarbeideren kan rådføre seg med en ekstern juridisk rådgiver ved behov.
Det er selvsagt ikke mulig for denne ene personen å håndtere alle compliance-oppgaver, ettersom mange av dem - for eksempel i forbindelse med GDPR - er de respektive medarbeidernes ansvar. Jobben handler mer om å lære de ansatte hva de skal og ikke skal gjøre, og til syvende og sist ligger ansvaret hos den som driver prosjektet.
Dokumentasjonsbyrden kan være tung for den utvalgte medarbeideren, og arbeidsmengden i seg selv gjør at det er viktig å velge riktig person til jobben.
Ikke noe rett eller galt
Alle organisasjoner er forskjellige. Noen er store, andre små. Noen har en flat organisasjonsstruktur, andre en hierarkisk. Noen har mange ansatte både nasjonalt og internasjonalt, mens andre bare har noen få.
Av samme grunn kan man heller ikke skjære alle over én kam når man skal gjennomføre et compliance-prosjekt. Det som er riktig for én organisasjon, kan være helt feil for en annen. Det handler om å være pragmatisk og finne ut hva som er gjennomførbart, hvilke muligheter organisasjonen har og hvilke ressurser som trengs for å få jobben gjort.
Samtidig er det viktig å se de tre alternativene som er nevnt ovenfor, som veivisere. De er ikke det endelige svaret, og realiteten er at de fleste organisasjoner vil lande et sted midt imellom. Et sted der implementeringsprosessen tilpasses og skreddersys etter organisasjonens behov.
Implementering av et nytt system krever en stor atferdsendring, og det er mange hensyn som bør tas før man går til innkjøp av programvare. Prosedyrer, prosesser og ansvarsområder må være på plass, og det samme gjelder støtte fra ledelsen - en vellykket implementering starter på toppen.
