starta ett efterlevnadsprogram från början

som många compliance officers vet är det svårt att vara en compliance department of one, även med lite administrativt stöd. Vad händer om du är en organisations första compliance officer någonsin? Hur går du om att bygga ett program från grunden?

det första och viktigaste steget är att säkerställa att programmet är korrekt placerat, säger Donna Boehme, rektor med Compliance strateger. “Rätt val, positionering och strukturering av compliance officer och compliance—funktionen inom företaget-att få detta steg rätt kan göra skillnaden mellan god självstyrning och att bli nästa Wall Street Journal-rubrik.”

det betyder att Chief compliance officer behöver tillräckligt med autonomi från ledningen för att han eller hon kan tala självständigt, men ändå vara säker på att bli hörd, säger Boehme. I allt högre grad har starka efterlevnadsprogram sina efterlevnadsansvariga rapporterar till organisationens verkställande direktör, snarare än den allmänna rådgivaren. Tjänstemännen har också direkt tillgång till styrelsen.

dessutom är en stark etisk kultur i en organisation en viktig del av ett effektivt etik-och efterlevnadsprogram. Ledningen spelar en mycket viktig roll för att främja detta. “Ledare och chefer på alla nivåer i en organisation har ett särskilt ansvar att föregå med gott exempel, främja organisationens värderingar och “gå samtalet”, säger Greg Triguba, ägare och rektor för Compliance Integrity Solutions, LLC.

2005 började John Hairston bygga ett centraliserat efterlevnadsprogram baserat på flera decentraliserade initiativ till $3 miljarder Bonneville Power Administration (BPA), en federal ideell marknadsförare av elkraft baserad i Portland, Oregon. “Vi ville utforma ett program som centralt skulle ta itu med tillförlitlighetsstandarderna och andra komponenter (av överensstämmelse), som Sarbanes-Oxley,” säger Hairston. Som ett kraftföretag styrs BPA av ett antal regler, inklusive de som styr finansiell rapportering, samt standarder utfärdade av North American Electric Reliability Corporation (NERC); dessa definierar tillförlitlighetskraven för planering och drift av bulkkraftssystemet som används i Nordamerika.

tidigare distribuerades compliance-funktionen genom olika områden av organisationer, säger Hairston. Inte bara var ansvaret decentraliserat, men “det var vid den tiden den klassiska” räven som bevakade hönshuset”, säger han. Samma affärsenhetsanställda som utförde uppgifter verifierade sedan att de var i överensstämmelse. BPA management och Hairston ville utveckla ett mer traditionellt tillvägagångssätt för efterlevnad, där en oberoende grupp skulle utvärdera aktiviteter i affärsenheterna för att avgöra om de var i överensstämmelse. Dessutom ville BPA skapa en grupp som kunde ha en aktiv, pågående konversation med tillsynsorgan som är mest relevanta för organisationen.

till exempel, som ett kraftbolag, BPA krävs för att säkerställa att träd och annan vegetation är ett visst avstånd från transmissionstorn och linjer; detta minskar risken för en blackout i händelse av stormar som rycka dem. Medan anställda från BPA: s överföringsområde ansvarar för att träden är ordentligt placerade eller skurna, genomför compliance-anställda antingen spotrevisioner eller granskar bilder som visar att de uppfyller kraven.

under hela denna process har Hairston lätt kunnat kommunicera ledande befattningshavare. Han rapporterar till BPA: s biträdande administratör, och Hairstons team ger potentiella efterlevnadsfrågor till månatliga möten i revisions-och internkontrollutskottet, där de diskuteras med BPA: s chefsoperatörer och vice presidenter, tillsammans med biträdande administratör. “Jag har en direkt kommunikationslinje till chefer, med pågående input och interaktion”, säger han.

samtidigt säger Hairston att hans förmåga att utveckla relationer med några av BPA: s 3 000 anställda också har varit nyckeln till programmets framgång. För att hjälpa till i det avseendet arbetar Hairston och hans team med cirka 400 ämnesexperter (små och medelstora företag) över hela företaget. Dessa individer är inom affärsenheterna, men tilldelas olika delar av relevanta bestämmelser. Så små och medelstora företag inom vegetationshantering skulle ansvara för att de tillämpliga reglerna följs. “Det är en viktig skillnad, eftersom vi (i överensstämmelse) inte kan utföra det faktiska arbetet. Överföringsverksamheten gör det, så de måste förstå reglerna,” säger Hairston. Hans grupp granskar och verifierar sedan att arbetet utfördes korrekt.

“ledare och chefer på alla nivåer i en organisation har ett särskilt ansvar att föregå med gott exempel, främja organisationens värderingar och” gå på tal.”

—Greg Triguba,

ägare & Principal,

Compliance Integrity Solutions

“att bygga starka relationer och partnerskap över en organisation är ett viktigt steg för att leda och hantera ett effektivt etik-och efterlevnadsprogram”, säger Triguba. Som ett exempel är partnerskap med funktionella områden som mänskliga resurser, internrevision, kommunikation, företagssäkerhet och det ovärderligt att effektivt integrera etik-och efterlevnadsprogram, standarder och principer i verksamheten. “Det här är några av de viktigaste partnerskapen i organisationen som behövs för att hjälpa dig att bära facklan och fungera som en positiv kraft, vilket hjälper dig att främja framgången för dina etik-och efterlevnadsinsatser och initiativ”, tillägger Triguba.

att ta sig tid att bygga relationer och främja etik-och efterlevnadsorganisationen som en hjälpsam, stödjande resurs snarare än en mer laglig “vakthund” – organisation är också ett viktigt mål att nå. “Det gör etik-och efterlevnadskontoret mer tillgängligt, så att anställda och andra känner sig bekväma att komma till dig med frågor och problem”, säger Triguba.

att arbeta med andra områden hjälper också till att förmedla budskapet att alla i organisationen måste ta ansvar för efterlevnad. “Den största missuppfattningen vi fortfarande ser idag är tanken att compliance officer” gör “compliance”, säger Boehme. Naturligtvis är compliance officer en expertresurs och coach. Men” den som skapar risken måste hantera den”, tillägger Boehme. När allt kommer omkring bör företagsledarna vara mest kunniga om de risker som deras områden står inför och sätt att mildra dem.

på BPA har utbildning och kommunikation varit avgörande för att hjälpa anställda att förstå sin roll i compliance-funktionen, säger Hairston. Hans grupp gör information om etik och efterlevnad tillgänglig löpande och genom olika verktyg, inklusive webbaserad och personlig träning, samt en årlig “Compliance Week”, med presentationer av olika delar av företaget och tabeller i cafeterian med information.

Administration

tillsammans med stegen Hairston och hans team tog som fokuserade på förändringsledning och företagskultur, var ett antal administrativa aktiviteter. I början granskade de och bedömde de efterlevnadsinitiativ som hade funnits. Var skriftliga förfaranden tillgängliga? Om så är fallet, var de väl förstådda? Compliance-gruppen utvärderade också övervaknings-och revisionsfunktionerna och letade efter några områden som kunde förbättras.

tidigt granskade Hairston också information om andra efterlevnadsprogram, vilket fick en känsla av vad BPA: s kamrater gjorde. Det blev uppenbart att många införlivade information från USA: s federala Dömningsriktlinjer om effektiv efterlevnad och etikprogram. BPA beslutade att införliva samma element-tillsyn, kommandokedja, dokumentera processer och förfaranden, rapportering, utredning, verkställighet, riskbedömning—också inom sitt program. “Vi tittade på vad den federala regeringen anser effektiva efterlevnadsprogram”, säger Hairston.

dessutom uppmuntrade Hairston (även om han inte mandat) sina chefer att få certifiering genom Society of Corporate Compliance and Ethics. Utbildningen bidrog till att alla arbetar från samma kunskapsbas.

BPA: s interna riskhanteringsexperter slutförde också riskbedömningar för varje element i programmet. Bedömningarna omfattade tre risknivåer: byrå, efterlevnad och funktionell. Hairston ger exempel: en risk på byrånivå är att ändra regler. På efterlevnadsnivå skulle en risk vara att inte dokumentera alla system och förfaranden. Och en risk på funktionell nivå, såsom intern kontroll, kan vara en anställds brist på kunskap om policyn för att ta emot gåvor.

” de högsta riskområdena är inte alltid uppenbara”, påpekar Boehme. Till exempel kan ett tillverkningsföretag fokusera på överensstämmelse med anläggningssäkerhetsregler. Även om det är nödvändigt, kan ledningen naturligtvis förbise risker som är inneboende i dataskyddsbestämmelserna.

Hairston behövde också bestämma vilka typer av system och processer som skulle behövas för att samla in efterlevnadsdata och kommunicera den till lämpliga tillsynsmyndigheter vid behov. Under 2009 implementerade BPA ett verktyg för efterlevnad. Rapporternas data som produceras av företagets efterlevnadsexperter kan matas in i systemet, vilket effektiviserar processen att granska, sammanställa och lämna informationen till lämpliga myndigheter.

tillsammans med sina anställda söker Hairston kontinuerligt efter sätt att ta BPA: s efterlevnadsprogram till nästa nivå. Bland andra initiativ utvecklar de nya metoder för att bedöma och visa värdet av efterlevnad, säger Hairston. Att arbeta för att stärka efterlevnadskulturen är också en pågående strävan, tillägger han.