Kort svar
Varslingskanal og intern granskning må ses i sammenheng hvis bedriften vil håndtere alvorlige saker troverdig.
Start med å kontrollere om dagens praksis faktisk dekker hvordan saker meldes inn og prioriteres, hvem som undersøker hva og hvordan uavhengighet, konfidensialitet og dokumentasjon ivaretas.
Når dette ofte blir aktuelt
- når virksomheten må avklare hvordan saker meldes inn og prioriteres
- når dere er usikre på om dagens praksis dekker hvem som undersøker hva
- når ledelse eller styre trenger kontroll på hvordan uavhengighet, konfidensialitet og dokumentasjon ivaretas
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvordan saker meldes inn og prioriteres | viser om plikt eller risiko faktisk er utløst |
| Hvem som undersøker hva | peker på hvilke tiltak som haster mest |
| Hvordan uavhengighet, konfidensialitet og dokumentasjon ivaretas | gjør det lettere å forklare og dokumentere vurderingen |
Praktisk framgangsmåte
- Beskriv dagens praksis konkret før dere vurderer nye tiltak.
- Test om grunnlag, rutiner og dokumentasjon dekker hvordan saker meldes inn og prioriteres.
- Lukk de største hullene først rundt hvem som undersøker hva.
- Sørg for løpende oppfølging og dokumentasjon av hvordan uavhengighet, konfidensialitet og dokumentasjon ivaretas.
Dokumentasjon som ofte avgjør
Det som faktisk er dokumentert underveis, betyr ofte mer enn hva bedriften mente å gjøre. Samle derfor:
- rutine for mottak, vurdering og oppfølging av varsel
- rolleavklaring for hvem som undersøker og dokumenterer
- policyer, rutiner og styringsdokumenter som viser hvem som gjør hva
- oversikter over risikoområder, leverandører og kontrollpunkter
Vanlige feil
- dagens praksis blir tatt for gitt uten at den testes mot faktiske krav og forhold
- ansvar for compliance blir liggende mellom flere stoler
- virksomheten lager policyer som ikke brukes i reelle beslutninger
Når bør dere hente konkret hjelp?
Når etterlevelse henger tett sammen med omdømme, leverandørkjeder, styreansvar eller alvorlige varslingssaker, bør struktur og dokumentasjon bygges med tydelig eierskap. Det gjelder særlig hvis dere kan bli møtt med tilsyn, krav om innsyn, økonomisk tap eller personlig ansvar.
Relaterte guider
- Compliance ved rask vekst: hva bør inn først?
- Varslingsrutiner for leverandørbrudd og tredjepartsfunn: hva bør gjelde?
- Hvordan fordele ansvar for compliance mellom ledelse og styre