Kraven på befattningshavare och ledningsgrupper längre ner i bolag och organisationers verksamheter ökar med flertalet interna och externa krav. Dessa krav är mer komplexa än tidigare. Samtidigt tenderar organisationer att vara smalare idag. Kan det vara en risk att svaret på efterlevnadsfrågan slentrianmässigt är: Ja, vi uppfyller efterlevnadskraven?

Att uppfylla efterlevnadkrav i praktiken handlar det inte bara om att kommunicera nya krav. Det handlar också om att prioritera, att vara fokuserad när dessa inkorporeras i den dagliga verksamheten samt att förankra dem i företagskultur och företagsstruktur. Det slutar dock inte där, utan man måste även ha bevis för efterlevnad. Vad finns det då för mekanismer bakom företag och organisationers kapacitet att förstå vad dessa krav betyder i praktiker? Vilka risker och konsekvenser finns där och ska man anta nya eller ändrade krav samt hur kan man garantera efterlevnaden?

Svaret är att det finns olika dimensioner. För det första; vilka processer och verktyg har vi implementerat för en lyckat ökad mognadsgrad inom GRC och hur mäter vi våra prestationer? För det andra; hur hittar vi rätt grad och balans i företag och organisationers kultur och struktur? Det är ledningens ansvarsområde att ge vägledning och praktiskt rådde hur man uppfyller efterlevnadskrav. Utöver dessa erfors tillräckliga resurser och verktyg inom implementationer av en balanserad riskbaserad kontrollmiljö, baserat på preventiva och detekterbara kontroller. Det måste implementeras i riskhanteringsprocessen. Det finns dock fallgropar vi måste se upp för.

We are idag mer exponerade än tidigare och i en mer komplex affärsmiljö måste riskkartan hela tiden ritas om. Vissa riskområden har uppstått på såväl globala som lokala bolags agendor med en ökad hastighet av risk för bedrägeri, korruption och överträdelser av företags sociala ansvar.

Med olika konsekvenser såsom risk för direkta kostnader, indirekta kostnader och skador på varumärket ska riskerna varken underskattas eller försummas. Fokuset måste höjas, från enskild ärendeplan till ett holistiskt plan, genom att övervaka sammanslagna risker för att kunna identifiera eventuella mönster och sedan vidta ytterligare åtgärder.

Trianguleringen av kombinerade risker inom bedrägeri, korruption och CSR-överträdelser måste vara integrerad i kontrollmiljön med skräddarsydda kontroller i olika dimensioner. Till exempel måste de vara integrerade i olika verksamheter och regioner med ett pragmatiskt mindset samtidigt som de är en del av riskhanteringsprocessen.

Henrik Frössling
RiskMaturity

Idag är vårt affärsklimat mer komplext och våra förväntade leveranser och framgång är högst beroende av externa parter och faktorer, såväl direkta som indirekta. I det avseendet är vi också beroende av tredjeparts affärspartners och det finns flera incitament att inkorporera tredjepartsrisker i riskhanteringsprocessen. En tredje part innebär risker för alla företag men möjligheten att implementera GRC-policys och kontrollmiljöer är svaret för efterlevnad av lagkrav.

Bolag är idag mer sårbara och i media kan man dagligen hitta exempel på företag och organisationer som har misslyckats. Allvarliga skador på varumärket och finansiella konsekvenser är inte ovanliga i dessa fall. Hos välkända varumärke där substantiella värden existerar tenderar marknaden och omgivningens dömande att fokuseras nedströms i värdekedjan.

Det är rekommenderat att ha en strategi kring vilka medel och metoder som finns för att utbilda och övervaka tredje part. Samtidigt är det i praktiken, på såväl global som lokal nivå, viktigt att hitta rätt grad av tillit, kontroll och rimlig garanti för att fortsatt hålla samma grad av efterlevnad. Befattningshavare har en nyckelroll för att sätta agendan, även så ledningsgrupper. De måste säkerställa att vardera lokal affärsenhet kan förse bästa möjliga tillsyn and reaktion som täcker uppskattning av risker, hantering av policy och tillhandahållningen av GRC-beskrivningar.

Slutsatsen är att dessa frågor behöver existera på företag och organisationers GRC-agenda från toppnivå ner till den lokala ledningsnivån. Detta behöver utföras med praktisk vägledning, tillräckligt stöd och de rätta verktygen.

Henrik Frössling
RiskMaturity

Än en gång blir vi i media påminda om vikten av att veta vem vi väljer att göra affärer med och vilka konsekvenser det kan medföra. Detta för såväl oss som individer som för det bolag vi antingen driver eller arbetar för.

Det är inte bara av intresse för att veta vem vi väljer att gör affärer med och vilka som står bakom bolagen utan att vi faktiskt under vissa omständigheter enligt lagen är skyldiga att agera förebyggande samt utföra vissa kontroller. Större bolag väljer alltmer att ställa stora krav på dess samarbetspartners, i många fall mindre bolag, att de och deras samarbetspartners i sin tur har en hög etisk standard.

Det är i sig en god egenskap att vi har förtroende för vår omgivning och våra affärspartners samt litar på att deras intentioner. Tyvärr kan det dock visa sig att det kan finnas en dold agenda, inte allt för vacker sådan som inte tål dagens ljus. Bolagets ansikte utåt kanske visar en helt annan bild än vad som sker i verkligheten.

I dagens globaliserade omvärld och cybermiljö är det inte lika lätt att avgöra våra affärspartners etiska standard, deras affärspartners i sin tur och eventuella frontbolag eller eventuella ”målvakter” med deras olika agendor. Riskexponeringen är allt mer komplex inom riskerna för korruption, bedrägeri, penningtvätt och finansiering av terror.

Kan vi förlita oss på att turen och att lyckan står oss bi att vi inte blir drabbade, alternativt, kan det rent av vara straffbart att ha otur? Okunskap är inget försvar.

Det är av största vikt att veta vilka regler som gäller och vilka krav som ställs på oss. Genom en riskbaserad approach kan vi lägga resurserna där vi uppfattar de största riskerna och göra det som vi förväntas göra såväl eventuella bakgrundskontroller som förebyggande åtgärder. Det kommersiella mervärdet av dessa aktiviteter skall inte underskattas.

Dilemmat vi kan ställas inför är:
Skall vi välja att avstå från att lägga resurser på bakgrundskontroller och förebyggande åtgärder för att kortsiktigt spara in på marginella kostnader? Alternativt så ter sig affärsupplägget kanske fördelaktig ut även om vi kan anta att det kan finnas vissa tveksamheter. Om vi inte genomför i affären så kanske någon av våra konkurrenter genomför den i stället?

Vad säger din etiska kompass och hur väljer du att agera?

Henrik Frössling
RiskMaturity