Kort svar
En compliance-risikovurdering fungerer best når den er kort, prioritert og koblet til faktiske beslutninger i virksomheten, ikke som et eget dokumentløp på siden.
Før dere ruller ut nye policyer eller svarer tilsyn og interessenter, bør dere ha kontroll på hvilke risikoer som faktisk er mest relevante for virksomheten, hvordan sannsynlighet og konsekvens vurderes i praksis og hvordan vurderingen kobles til tiltak og ansvar.
Når dette blir aktuelt
- når virksomheten vil starte eller forbedre compliancearbeid
- når ledelsen trenger prioritering og ikke en lang liste med alt
- når styret vil forstå hvor de største risikoene ligger
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilke risikoer som faktisk er mest relevante for virksomheten | avgjør om vurderingen blir styrende |
| Hvordan sannsynlighet og konsekvens vurderes i praksis | er viktig for prioritering |
| Hvordan vurderingen kobles til tiltak og ansvar | reduserer risikoen for at den blir liggende ubrukt |
Slik bør dere gå fram
- Start med virksomhetens faktiske aktiviteter, markeder og relasjoner fremfor generiske kategorier.
- Velg noen få risikoområder som er store nok til å kreve handling.
- Beskriv hva som gjør risikoen høy, og hva virksomheten allerede gjør i dag.
- Knytt hvert hovedfunn til ansvarlig person og oppfølgingstidspunkt.
Dokumenter og spor som bør være på plass
Compliance fungerer best når ansvar, dokumentasjon og oppfølging er integrert i den daglige driften.
- risikooversikt med prioriterte områder
- underlag om markeder, leverandører og interne prosesser
- beskrivelse av eksisterende kontroller og svakheter
- handlingsplan med ansvarlige og frister
Typiske feil
- risikovurderingen blir en liste over alt som kan skje
- ingen tør å prioritere og alt blir like viktig
- tiltak og eierskap mangler selv om risikoen er identifisert
Når bør dere få konkret hjelp?
Når virksomheten trenger å bevege seg fra generelle policyer til faktisk styring, bør risikovurderingen kvalitetssikres som et arbeidsverktøy.
Relaterte guider
- Compliance ved rask vekst: hva bør inn først?
- Kontroll med gaver, representasjon og sponsing: hvordan rigge praksis?
- Opplæring i etikk og compliance: hvordan gjøre den relevant?