En framgångsrik implementering av ett compliance-projekt handlar om mycket mer än bara mjukvara. I själva verket är själva mjukvaran bara ett system som stödjer de processer och förfaranden som krävs för att en organisation ska kunna kalla sig compliant.
Med detta sagt måste de berörda medarbetarna naturligtvis lära sig att navigera i compliance-systemen, men resan mot en framgångsrik implementering börjar i en annan ände.
Börja med att undersöka graden av beredskap. Har organisationen till exempel avsatt rätt mängd resurser för uppgiften, finns det en befintlig struktur som stödjer arbetet (t.ex. rapporteringsvägar) och har policyer utarbetats som beskriver arbetet med compliance? Och lika viktigt, finns det tillräckligt med tid för medarbetarna att utföra sina nuvarande uppgifter och lägga den tid som krävs på implementering och lärande?
Tabellen nedan ger en bra översikt över de frågor du kan ställa internt för att klargöra om resurser och engagemang finns på plats.
Det finns inget enkelt sätt att svara på ovanstående frågor. För att lyckas med ett compliance-projekt är det viktigt att det förberedande arbetet är ordentligt – både för att säkerställa implementeringen, men också för att kunna mäta om investeringen i compliance lever upp till organisationens förväntningar.
Det är alltså inte "bara" resurser och engagemang som behöver finnas på plats innan projektet påbörjas. Det handlar också om KPI:er. I detta sammanhang kan du fråga dig vilken nivå av compliance som organisationen vill uppnå, t.ex:
- Bäst i klassen (110 %)
- Nå i mål (95 %)
- Nå en viss nivå (75 %)
- Enbart det basala (50 %)
För vissa organisationer är det bara nödvändigt att förstå och integrera det mest basala utifrån de resurserna som finns tillgängliga, medan det för andra är viktigt att vara bland de bästa inom området. Det finns inga rätt eller fel. Det handlar om att hitta den lösning som matchar organisationen både praktiskt och ekonomiskt.
Tre sätt att ta itu med implementeringen
Med ovanstående frågor i åtanke finns det tre huvudsakliga sätt att närma sig genomförandet av ett compliance-projekt:
- Spridning i hela organisationen
- Spridning bland kärnmedarbetare
- En eller ett fåtal personer som driver implementeringen.
Nedan går vi igenom de enskilda metoderna och förklarar hur ni som organisation kan få en bra utgångspunkt och få ut mesta möjliga av er investering i compliance-mjukvaran.
Spridning i hela organisationen
Om du vill driva en compliance-kultur som genomsyrar även de mest avlägsna delarna av din organisation är den breda lösningen ett självklart val. Här inrättas en styrgrupp som har det övergripande ansvaret för de beslut som behöver fattas och som ser till att regler och krav efterlevs.
Det är dock inte styrgruppen i sig som ska lösa de compliancerelaterade uppgifterna. Det är upp till de enskilda medarbetarna, och därför måste ett antal förändringsagenter utses för att hjälpa till med spridningen av förändringarna på respektive avdelning. I grund och botten handlar det om att delegera ett stort ansvar så att varje medarbetare tar ansvar för sina egna handlingar och så att compliance-arbetet är förankrat ända ut i sista ledet.
Spridning i organisationen säkerställer att det finns många händer som kan utföra uppgiften, men det är också en lösning som kräver mycket struktur och en hel del rapportering fram och tillbaka. För att inte tala om inlärning för den enskilde medarbetaren. Det krävs en stor beteendeförändring för att införa ett system av det här slaget, och det måste förankras hela vägen från ledningsnivå till medarbetare. Det ska helt enkelt finnas en compliance-kultur i hela organisationen.
Roll- och ansvarsfördelningen är mycket tydlig när man väljer en bred spridningsmetod. På den översta nivån finns styrningsgruppen som ansvarar för att säkerställa att:
- riktlinjer, förfaranden och kontroller är förankrade på rätt nivå
- rätt resurser avsätts för att uppfylla dokumentationsskyldigheten
- artikel 30-inventeringen är slutförd.
- eventuella falluckor minimeras
- avtal om databehandling finns på plats och att tillsyn utförs
- organisationen har rätt fokus.
Därefter tar de utvalda förändringsagenterna över, och i deras ansvar ingår att se till att:
- riktlinjer och förfaranden följs och efterlevs
- kontinuerliga kontroller och granskningar utförs
- dokumentationen är korrekt utförd
- det införs anpassning om organisationen förändras.
Slutligen är det upp till den enskilda medarbetaren att ta ansvar för uppgifterna och se till att de slutför:
- efterlevnad av riktlinjer och förfaranden
- dokumentation och underhåll av behandlingsaktiviteter (frågeformulär, IT-flöden, underlag för gap-analys m.m.)
- genomförande av initiativ
- genomförande av kontroller.
Spridning bland kärnmedarbetare
Om ni inte har resurser att kanalisera compliance-projektet till varje enskild medarbetare, är ett annat alternativ att utse en eller två kärnmedarbetare som får det övergripande ansvaret för organisationens compliance-arbete.
Det är dock inte kärnmedarbetarna själva som ansvarar för uppgifterna. Istället bör de delegera det operativa ansvaret till avdelningarna, som säkerställer att arbetet fortskrider. Till skillnad från spridningsmetoden ovan behöver inte alla medarbetare på avdelningen vara involverade, utan enbart ett fåtal. De utvalda medarbetarna ansvarar för att samla in relevant information, säkerställa korrekt dokumenthantering och se till att policyer och rutiner följs och efterlevs.
På så sätt delas ägarskapet mellan avdelningarna och linjecheferna, vilket innebär att styrgruppen och antalet involverade medarbetare inblandning minimeras. Det innebär att de uppgifter som tidigare låg på styrgruppens ansvar nu faller på kärnmedarbetarna som ansvarar för att se till att:
- riktningslinjer, förfaranden och kontroller är förankrade på rätt nivå
- rätt resurser är avsatta för att uppfylla dokumentationsskyldigheten
- artikel 30-inventeringen är slutförd
- eventuella falluckor minimeras
- databehandlingsavtal finns på plats och tillsyn utförs
- organisationen har rätt fokus riktningslinjer och förfaranden följs och efterlevs
- löpande kontroller och granskningar utförs
- dokumentationen är korrekt
- anpassningar initieras om organisationen förändras.
Det är fortfarande medarbetarna på avdelningen som ansvarar för det praktiska genomförandet av uppgifterna. Ofta utses dock enskilda personer för att hantera processerna.
Denna lösning kan vara relevant om resurserna inte räcker till för ett brett införande eller om ledningen inte vill ta en konkret del i arbetet med en framgångsrik implementering av compliance-projektet. Det är dock värt att nämna att i organisationer där ledningen är aktivt involverad i beslutet och villig att avsätta de nödvändiga resurserna genomförs implementeringen snabbare.
En eller ett fåtal personer driver implementeringen
I en organisation där det inte finns resurser att lägga ansvaret för efterlevnaden på varje enskild medarbetare – eller ett stort antal av dem – kan en lösning vara att utse en person som tar på sig ansvaret. Denna utsedda medarbetare kan vid behov konsultera en extern juridisk rådgivare.
Naturligtvis är det inte möjligt för denna enda person att hantera alla compliance-uppgifter, eftersom många av dem – till exempel i förhållande till GDPR – är respektive medarbetares ansvar. Hens jobb handlar mer om att leda medarbetarna och lära dem vad de ska och inte ska göra, och i slutändan ligger ansvaret hos den person som driver projektet.
Dokumentationsbördan kan vara tung för den utvalda medarbetaren, och den stora arbetsvolymen innebär i sig att det är viktigt att välja rätt person för jobbet.
Det finns inga rätt eller fel
Alla organisationer är olika. Vissa är stora, andra är små. Vissa har en platt organisationsstruktur, andra en hierarkisk. Vissa har många anställda både nationellt och internationellt, medan andra bara har ett fåtal.
Av samma anledning går det inte att dra alla över en kam när det gäller att genomföra ett compliance-projekt. Det som är rätt för en organisation kan vara helt fel för en annan. Det handlar om att vara pragmatisk och ta reda på vad som är genomförbart, vilka alternativ organisationen har och vilka resurser som behövs för att få jobbet gjort.
Samtidigt är det viktigt att se de tre alternativen ovan som riktmärken. De är inte det slutgiltiga svaret, och verkligheten är att de flesta organisationer kommer att landa någonstans mittemellan. Det viktiga är att implementeringsprocessen anpassas och skräddarsys för att matcha organisationens behov.
Att implementera ett nytt system kräver en stor beteendeförändring, och det finns många överväganden som bör föregå inköpet av programvara. Rutiner, processer och ansvarsområden måste finnas på plats, liksom stöd från ledningen – en lyckad implementering börjar uppifrån.