Kort svar
Bedriften bør kunne forklare hvem som eier og kontrollerer den, også når strukturen er mer kompleks enn organisasjonskartet viser.
Start med å kontrollere om dagens praksis faktisk dekker hvem som har direkte og indirekte kontroll, hvordan dette dokumenteres internt og eksternt og hvordan endringer oppdateres.
Når dette ofte blir aktuelt
- når virksomheten må avklare hvem som har direkte og indirekte kontroll
- når dere er usikre på om dagens praksis dekker hvordan dette dokumenteres internt og eksternt
- når ledelse eller styre trenger kontroll på hvordan endringer oppdateres
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvem som har direkte og indirekte kontroll | viser om plikt eller risiko faktisk er utløst |
| Hvordan dette dokumenteres internt og eksternt | peker på hvilke tiltak som haster mest |
| Hvordan endringer oppdateres | gjør det lettere å forklare og dokumentere vurderingen |
Praktisk framgangsmåte
- Beskriv dagens praksis konkret før dere vurderer nye tiltak.
- Test om grunnlag, rutiner og dokumentasjon dekker hvem som har direkte og indirekte kontroll.
- Lukk de største hullene først rundt hvordan dette dokumenteres internt og eksternt.
- Sørg for løpende oppfølging og dokumentasjon av hvordan endringer oppdateres.
Dokumentasjon som ofte avgjør
Det som faktisk er dokumentert underveis, betyr ofte mer enn hva bedriften mente å gjøre. Samle derfor:
- policyer, rutiner og kontrollspor som viser hva som faktisk gjøres
- styre- eller ledelsesbehandling av vurderinger, funn og tiltak
- oversikter over risikoområder, leverandører og kontrollpunkter
Vanlige feil
- dagens praksis blir tatt for gitt uten at den testes mot faktiske krav og forhold
- ansvar for compliance blir liggende mellom flere stoler
- virksomheten lager policyer som ikke brukes i reelle beslutninger
Når bør dere hente konkret hjelp?
Når etterlevelse henger tett sammen med omdømme, leverandørkjeder, styreansvar eller alvorlige varslingssaker, bør struktur og dokumentasjon bygges med tydelig eierskap. Det gjelder særlig hvis dere kan bli møtt med tilsyn, krav om innsyn, økonomisk tap eller personlig ansvar.
Relaterte guider
- Bærekraftspåstander og hva bedriften bør kunne dokumentere
- Sanksjoner etter åpenhetsloven: hva risikerer bedriften?
- Compliance ved rask vekst: hva bør inn først?