Ein Compliance-Programm von Grund auf neu starten

Wie viele Compliance-Verantwortliche wissen, ist es schwierig genug, selbst mit administrativer Unterstützung eine Compliance-Abteilung zu sein. Was ist, wenn Sie der erste Compliance Officer eines Unternehmens sind? Wie gehen Sie vor, um ein Programm von Grund auf neu zu erstellen?

Der erste und wichtigste Schritt besteht darin, sicherzustellen, dass das Programm korrekt positioniert ist, sagt Donna Boehme, Principal bei Compliance Strategists. “Die richtige Auswahl, Positionierung und Strukturierung des Compliance Officers und der Compliance—Funktion im Unternehmen – diesen Schritt richtig zu machen, kann den Unterschied zwischen guter Selbstverwaltung und der nächsten Schlagzeile des Wall Street Journal ausmachen.”

Das bedeutet, dass der Chief Compliance Officer genügend Autonomie vom Management benötigt, um unabhängig sprechen zu können und dennoch sicher zu sein, gehört zu werden”, sagt Boehme. Bei starken Compliance-Programmen berichten die Compliance-Beauftragten zunehmend an den Chief Executive Officer der Organisation und nicht an den General Counsel. Die Offiziere genießen auch direkten Zugang zum Verwaltungsrat.

Darüber hinaus ist eine starke ethische Kultur in einer Organisation ein wesentlicher Bestandteil eines wirksamen Ethik- und Compliance-Programms. Das Management spielt dabei eine sehr wichtige Rolle. “Führungskräfte und Manager auf allen Ebenen einer Organisation haben eine besondere Verantwortung, mit gutem Beispiel voranzugehen, die Werte der Organisation zu fördern und “das Gespräch zu führen”, sagt Greg Triguba, Inhaber und Leiter von Compliance Integrity Solutions, LLC.

Im Jahr 2005 begann John Hairston mit dem Aufbau eines zentralisierten Compliance-Programms, das auf mehreren dezentralisierten Initiativen bei der 3 Milliarden US-Dollar schweren Bonneville Power Administration (BPA) basierte, einem gemeinnützigen Vermarkter von elektrischer Energie mit Sitz in Portland, Oregon. “Wir wollten ein Programm entwerfen, das die Zuverlässigkeitsstandards und andere (Compliance-) Komponenten wie Sarbanes-Oxley zentral adressiert”, sagt Hairston. Als Energieversorgungsunternehmen unterliegt BPA einer Reihe von Vorschriften, einschließlich derjenigen, die die Finanzberichterstattung regeln, sowie Standards, die von der North American Electric Reliability Corporation (NERC) herausgegeben werden; Diese definieren die Zuverlässigkeitsanforderungen für die Planung und den Betrieb des in ganz Nordamerika verwendeten Bulk-Stromsystems.

Bisher wurde die Compliance-Funktion über verschiedene Bereiche von Organisationen verteilt, sagt Hairston. Verantwortlichkeiten waren nicht nur dezentralisiert, sondern “es war zu der Zeit der Klassiker”Fuchs bewacht den Hühnerstall””, sagt er. Dieselben Mitarbeiter der Geschäftseinheit, die ihre Aufgaben wahrnahmen, überprüften dann die Einhaltung der Vorschriften. BPA Management und Hairston wollten einen traditionelleren Compliance-Ansatz entwickeln, bei dem eine unabhängige Gruppe die Aktivitäten in den Geschäftsbereichen bewerten würde, um festzustellen, ob sie konform sind. Darüber hinaus wollte BPA eine Gruppe schaffen, die ein aktives, laufendes Gespräch mit den für die Organisation relevantesten Aufsichtsbehörden führen kann.

Als Energieversorger muss BPA beispielsweise sicherstellen, dass Bäume und andere Pflanzen einen gewissen Abstand zu Sendemasten und Leitungen haben; Dies verringert das Risiko eines Stromausfalls bei Stürmen, die sie entwurzeln. Während Mitarbeiter aus dem Übertragungsgebiet von BPA dafür verantwortlich sind, dass die Bäume ordnungsgemäß platziert oder zurückgeschnitten werden, führen Compliance-Mitarbeiter entweder Spot-Audits durch oder überprüfen Fotos, die die Einhaltung belegen.

Während dieses gesamten Prozesses konnte Hairston problemlos mit der Geschäftsleitung kommunizieren. Er berichtet an den stellvertretenden Administrator von BPA, und Hairstons Team bringt potenzielle Compliance-Probleme zu monatlichen Sitzungen des Audit and Internal Controls Management Committee, wo sie mit den Chief Operating Officers und Vizepräsidenten von BPA sowie dem stellvertretenden Administrator besprochen werden. “Ich habe eine direkte Kommunikation zu Managern, mit kontinuierlichem Input und Interaktion”, sagt er.

Gleichzeitig sagt Hairston, dass seine Fähigkeit, Beziehungen zu einigen der 3.000 Mitarbeiter von BPA aufzubauen, auch der Schlüssel zum Erfolg des Programms war. Um dabei zu helfen, arbeiten Hairston und sein Team mit rund 400 Fachexperten (KMU) im gesamten Unternehmen zusammen. Diese Personen befinden sich innerhalb der Geschäftseinheiten, sind jedoch verschiedenen Elementen der relevanten Vorschriften zugeordnet. Die KMU im Bereich des Vegetationsmanagements wären also dafür verantwortlich, dass die geltenden Vorschriften eingehalten werden. “Es ist eine wichtige Unterscheidung, weil wir (in Übereinstimmung) die eigentliche Arbeit nicht ausführen können. Das Übertragungsgeschäft tut es, also müssen sie die Vorschriften verstehen “, sagt Hairston. Seine Gruppe prüft und überprüft dann, ob die Arbeit korrekt ausgeführt wurde.

“Führungskräfte und Manager auf allen Ebenen einer Organisation haben eine besondere Verantwortung, mit gutem Beispiel voranzugehen, die Werte der Organisation zu fördern und “das Gespräch zu führen.'”

– Greg Triguba,

Inhaber & Principal,

Compliance Integrity Solutions

“Der Aufbau starker Beziehungen und Partnerschaften in einer Organisation ist ein wichtiger Schritt bei der Leitung und Verwaltung eines effektiven Ethik- und Compliance-Programms”, sagt Triguba. Beispielsweise ist die Partnerschaft mit Funktionsbereichen wie Personalwesen, interner Revision, Kommunikation, Unternehmenssicherheit und IT von unschätzbarem Wert, um Ethik- und Compliance-Programme, -Standards und -prinzipien effektiv in das Unternehmen zu integrieren. “Dies sind einige der wichtigsten Partnerschaften in der Organisation, die benötigt werden, um Ihnen zu helfen, die Fackel zu tragen und als positive Kraft zu dienen, die Ihnen hilft, den Erfolg Ihrer Ethik- und Compliance-Bemühungen und -Initiativen voranzutreiben”, fügt Triguba hinzu.

Sich die Zeit zu nehmen, Beziehungen aufzubauen und die Ethik- und Compliance-Organisation als hilfreiche, unterstützende Ressource und nicht als eher legale “Watchdog” -Organisation zu fördern, ist ebenfalls ein wichtiges Ziel. “Es macht das Ethik- und Compliance-Büro zugänglicher, so dass sich Mitarbeiter und andere wohl fühlen, wenn Sie mit Fragen und Bedenken zu Ihnen kommen”, sagt Triguba.

Die Zusammenarbeit mit anderen Bereichen trägt auch dazu bei, die Botschaft zu vermitteln, dass jeder in der Organisation die Verantwortung für die Einhaltung übernehmen muss. “Das größte Missverständnis, das wir heute noch sehen, ist die Vorstellung, dass der Compliance Officer Compliance”tut””, sagt Boehme. Natürlich ist der Compliance Officer eine Expertenressource und ein Coach. Doch “wer das Risiko schafft, muss es managen”, fügt Böhme hinzu. Schließlich sollten die Geschäftsführer über die Risiken, denen ihre Bereiche ausgesetzt sind, und über Möglichkeiten, sie zu mindern, am besten informiert sein.

Bei BPA waren Schulung und Kommunikation entscheidend, um den Mitarbeitern zu helfen, ihre Rolle in der Compliance-Funktion zu verstehen, sagt Hairston. Seine Gruppe stellt Informationen zu Ethik und Compliance kontinuierlich und durch verschiedene Tools zur Verfügung, darunter das webbasierte und persönliche Training sowie eine jährliche “Compliance Week” mit Präsentationen verschiedener Unternehmensbereiche und Tischen in der Cafeteria mit Informationen.

Verwaltung

Neben den Schritten, die Hairston und sein Team unternahmen, die sich auf Change Management und Unternehmenskultur konzentrierten, gab es eine Reihe von administrativen Aktivitäten. Zu Beginn überprüften und bewerteten sie die bestehenden Compliance-Initiativen. Gab es schriftliche Verfahren? Wenn ja, wurden sie gut verstanden? Die Compliance-Gruppe bewertete auch die Überwachungs- und Auditfunktionen und suchte nach verbesserungswürdigen Bereichen.

Frühzeitig überprüfte Hairston auch Informationen zu anderen Compliance-Programmen und gewann ein Gefühl dafür, was die Kollegen von BPA taten. Es wurde deutlich, dass viele Informationen aus den US-Bundesurteilsrichtlinien für wirksame Compliance- und Ethikprogramme enthielten. BPA beschloss, die gleichen Elemente — Aufsicht, Befehlskette, Dokumentation von Prozessen und Verfahren, Berichterstattung, Untersuchung, Durchsetzung, Risikobewertung — ebenfalls in sein Programm aufzunehmen. “Wir haben uns angesehen, was die Bundesregierung für wirksame Compliance-Programme hält”, sagt Hairston.

Darüber hinaus ermutigte Hairston seine Manager (obwohl er dies nicht beauftragte), sich durch die Society of Corporate Compliance and Ethics zertifizieren zu lassen. Das Training trug dazu bei, dass alle auf derselben Wissensbasis arbeiten.

Die internen Risikomanagement-Experten von BPA haben auch Risikobewertungen für jedes Element des Programms durchgeführt. Die Bewertungen umfassten drei Risikoebenen: Agentur, Compliance und funktional. Hairston nennt Beispiele: Ein Risiko auf Agenturebene ist die Änderung von Vorschriften. Auf der Compliance-Ebene besteht das Risiko, dass nicht alle Systeme und Verfahren dokumentiert werden. Und ein Risiko auf funktionaler Ebene, wie interne Kontrollen, könnte ein Mangel an Wissen eines Mitarbeiters über die Richtlinien zur Annahme von Geschenken sein.

“Die Bereiche mit dem höchsten Risiko sind nicht immer offensichtlich”, betont Boehme. Beispielsweise kann sich ein produzierendes Unternehmen auf die Einhaltung der Vorschriften zur Anlagensicherheit konzentrieren. Während dies natürlich notwendig ist, kann das Management die mit den Datenschutzbestimmungen verbundenen Risiken übersehen.

Hairston musste auch bestimmen, welche Arten von Systemen und Prozessen benötigt werden, um Compliance-Daten zu sammeln und sie bei Bedarf an die zuständigen Aufsichtsbehörden weiterzuleiten. Im Jahr 2009 implementierte BPA ein Compliance-Software-Tool. Die von den Compliance-Experten des Unternehmens erstellten Berichtsdaten können in das System eingegeben werden, wodurch der Prozess der Überprüfung, Zusammenstellung und Übermittlung der Informationen an die zuständigen Behörden rationalisiert wird.

Zusammen mit seinen Mitarbeitern sucht Hairston ständig nach Möglichkeiten, das Compliance-Programm von BPA auf die nächste Stufe zu heben. Unter anderem entwickeln sie neue Methoden, um den Wert der Compliance zu bewerten und zu demonstrieren, sagt Hairston. Auch die Stärkung der Compliance-Kultur sei ein kontinuierliches Unterfangen, fügt er hinzu.