start af et Compliance-Program fra bunden

som mange compliance-officerer ved, er det svært nok at være en compliance-afdeling for en, selv med en vis administrativ support. Hvad hvis du er en organisations første compliance officer nogensinde? Hvordan kan du gå om at opbygge et program fra bunden?

det første og vigtigste skridt er at sikre, at programmet er korrekt placeret, siger Donna Boehme, rektor med Compliance strateger. “Den korrekte udvælgelse, positionering og strukturering af compliance officer og compliance—funktionen i virksomheden-at få dette skridt rigtigt kan gøre forskellen mellem god selvstyre og at blive den næste overskrift.”

det betyder, at chief compliance officer har brug for tilstrækkelig autonomi fra ledelsen til, at han eller hun kan tale uafhængigt, men alligevel være sikker på at blive hørt, siger Boehme. I stigende grad har stærke compliance-programmer deres compliance officers rapport til organisationens administrerende direktør snarere end general counsel. Bestyrelsen har også direkte adgang til bestyrelsen.

derudover er en stærk etisk kultur i en organisation en væsentlig komponent i ethvert effektivt etik-og overholdelsesprogram. Ledelsen spiller en meget vigtig rolle i at fremme dette. “Ledere og ledere på alle niveauer i en organisation har et særligt ansvar for at føre et eksempel, fremme organisationens værdier og “gå i snak”, siger Greg Triguba, ejer og rektor for Compliance Integrity Solutions, LLC.

i 2005 begyndte John Hairston at opbygge et centraliseret overholdelsesprogram baseret på flere decentrale initiativer på $3 milliarder Bonneville Strømadministration (BPA), en føderal non-profit marketingmedarbejder af elektrisk strøm baseret i Portland, Oregon. “Vi ønskede at designe et program, der centralt ville adressere pålidelighedsstandarderne og andre komponenter (af overholdelse), som Sarbanes-Oksley,” siger Hairston. Som elselskab styres BPA af en række regler, herunder dem, der regulerer finansiel rapportering, samt standarder udstedt af North American Electric Reliability Corporation (NERC); disse definerer pålidelighedskravene til planlægning og drift af bulkkraftsystemet i brug i hele Nordamerika.

tidligere blev compliance-funktionen distribueret gennem forskellige områder af organisationer, siger Hairston. Ikke kun var ansvaret decentraliseret, men “det var på det tidspunkt den klassiske” ræv, der bevogter hønsehuset, ” siger han. De samme medarbejdere i forretningsenheden, der udførte opgaver, bekræftede derefter, at de var i overensstemmelse. BPA management og Hairston ønskede at udvikle en mere traditionel tilgang til overholdelse, hvor en uafhængig gruppe ville evaluere aktiviteter i forretningsenhederne for at afgøre, om de var i overensstemmelse. Derudover ønskede BPA at oprette en gruppe, der kunne have en aktiv, løbende samtale med regulerende organer, der var mest relevante for organisationen.

for eksempel er BPA som elselskab forpligtet til at sikre, at træer og anden vegetation er en vis afstand fra transmissionstårne og linjer; dette reducerer risikoen for blackout i tilfælde af storme, der rykker dem op. Mens medarbejdere fra BPA ‘ s transmissionsområde er ansvarlige for at sikre, at træerne er korrekt placeret eller skåret ned, udfører compliance-medarbejdere enten spotrevisioner eller gennemgår fotos, der viser overholdelse.

gennem denne proces har Hairston været i stand til let at kommunikere den øverste ledelse. Han rapporterer til BPA ‘s viceadministrator, og Hairston’ s team bringer potentielle overholdelsesproblemer til månedlige møder i audit and internal controls management committee, hvor de diskuteres med BPA ‘ s chief operating officers og vice presidents sammen med viceadministratoren. “Jeg har en direkte kommunikationslinje til ledere med løbende input og interaktion,” siger han.

samtidig siger Hairston, at hans evne til at udvikle relationer med nogle af BPA ‘ s 3.000 medarbejdere også har været nøglen til programmets succes. For at hjælpe i den henseende arbejder Hairston og hans team med omkring 400 emneeksperter (SMV ‘ er) på tværs af virksomheden. Disse personer er inden for forretningsenhederne, men tildeles forskellige elementer i de relevante regler. Så SMV ‘ er inden for vegetationsforvaltning ville være ansvarlige for at sikre, at de gældende regler følges. “Det er en vigtig forskel, fordi vi (i overensstemmelse) ikke kan udføre det egentlige arbejde. Transmissionsvirksomheden gør det, så de er nødt til at forstå reglerne,” siger Hairston. Hans gruppe reviderer derefter og verificerer, at arbejdet blev udført korrekt.

“ledere og ledere på alle niveauer i en organisation har et særligt ansvar for at lede med et godt eksempel, fremme organisationens værdier og” gå samtalen.'”

—Greg Triguba,

ejer& Principal,

Compliance Integrity Solutions

“opbygning af stærke relationer og partnerskaber på tværs af en organisation er et vigtigt skridt i at lede og styre et effektivt etisk og compliance-program,” siger Triguba. Som et eksempel er partnerskab med funktionelle områder som menneskelige ressourcer, intern revision, kommunikation, virksomhedssikkerhed, og det er uvurderligt at effektivt integrere etik-og overholdelsesprogrammer, standarder og principper i virksomheden. “Dette er nogle af de vigtigste partnerskaber i organisationen, der er nødvendige for at hjælpe dig med at bære faklen og tjene som en positiv styrke, der hjælper dig med at fremme succesen med din etik og overholdelsesindsats og initiativer,” tilføjer Triguba.

at tage sig tid til at opbygge relationer og fremme etik-og overholdelsesorganisationen som en hjælpsom, støttende ressource snarere end en mere lovlig “vagthund” – organisation er også et vigtigt mål at nå frem til. “Det gør kontoret for etik og overholdelse mere tilgængeligt, så medarbejdere og andre føler sig godt tilpas med at komme til dig med spørgsmål og bekymringer,” siger Triguba.

arbejde med andre områder hjælper også med at formidle budskabet om, at alle i organisationen skal tage ansvar for overholdelse. “Den største misforståelse, vi stadig ser i dag, er ideen om, at compliance officer ‘gør’ overholdelse,” siger Boehme. Selvfølgelig er compliance officer en ekspert ressource og coach. Men ” den, der skaber risikoen, skal klare det,” tilføjer Boehme. Når alt kommer til alt, bør virksomhedsledere være mest vidende om de risici, deres områder står over for, og måder at afbøde dem på.

hos BPA har uddannelse og kommunikation været afgørende for at hjælpe medarbejderne med at forstå deres rolle i compliance-funktionen, siger Hairston. Hans Gruppe stiller løbende information om etik og compliance til rådighed og gennem forskellige værktøjer, herunder den internetbaserede og personlige træning, samt en årlig “Compliance uge” med præsentationer fra forskellige dele af virksomheden og tabeller i cafeteriet med information.

Administration

sammen med de trin Hairston og hans team tog, der fokuserede på forandringsledelse og virksomhedskultur, var en række administrative aktiviteter. I starten gennemgik og vurderede de compliance-initiativer, der havde været på plads. Var der skriftlige procedurer til rådighed? Hvis ja, blev de godt forstået? Compliance-gruppen evaluerede også overvågnings-og revisionsfunktionerne og ledte efter områder, der kunne forbedres.

tidligt gennemgik Hairston også oplysninger om andre overholdelsesprogrammer og fik en fornemmelse af, hvad BPA ‘ s jævnaldrende gjorde. Det blev tydeligt, at mange inkorporerede oplysninger fra de amerikanske føderale retningslinjer for domfældelse om effektiv overholdelse og etiske programmer. BPA besluttede også at indarbejde de samme elementer—tilsyn, kommandovej, dokumentation af processer og procedurer, rapportering, efterforskning, håndhævelse, Risikovurdering—inden for sit program. “Vi kiggede på, hvad den føderale regering anser for effektive overholdelsesprogrammer,” siger Hairston.

derudover opmuntrede Hairston (selvom han ikke mandat) sine ledere til at få certificering gennem Society of Corporate Compliance and Ethics. Uddannelsen hjalp med at sikre, at alle arbejder ud fra samme videnbase.

BPA ‘ s interne risikostyringseksperter gennemførte også risikovurderinger for hvert element i programmet. Vurderingerne omfattede tre niveauer af risiko: agentur, compliance og funktionel. Hairston giver eksempler: en risiko på agenturniveau ændrer reglerne. På overholdelsesniveau ville en risiko ikke dokumentere alle systemer og procedurer. Og en risiko på det funktionelle niveau, såsom interne kontroller, kan være en medarbejders manglende viden om politikkerne for at acceptere gaver.

“de højeste risikoområder er ikke altid indlysende,” påpeger Boehme. For eksempel kan en fremstillingsvirksomhed fokusere på overholdelse af plantesikkerhedsregler. Selvom det er nødvendigt, kan ledelsen naturligvis overse risici, der er forbundet med databeskyttelsesbestemmelser.

Hairston havde også brug for at bestemme, hvilke typer systemer og processer der ville være nødvendige for at indsamle overholdelsesdata og kommunikere dem til de relevante reguleringsorganer, når det var nødvendigt. I 2009 implementerede BPA et compliance-værktøj. Rapportens data produceret af virksomhedens compliance-eksperter kan indføres i systemet, hvilket strømliner processen med at gennemgå, kompilere og indsende oplysningerne til de relevante myndigheder.

sammen med sine medarbejdere søger Hairston løbende efter måder at tage BPA ‘ s compliance-program til næste niveau. Blandt andre initiativer udvikler de nye metoder til at vurdere og demonstrere værdien af overholdelse, siger Hairston. At arbejde for at styrke compliance-kulturen er også en løbende indsats, tilføjer han.