ända sedan USA: s regering började kraftigt reglera olika branscher har det blivit viktigt att hålla sig kompatibel. Medan många småföretag bara måste spela efter några regler, måste större organisationer utveckla kompletta företagsöverensstämmelseplaner.
för att följa alla tillämpliga lagar, inklusive federala lagar, statliga lagar och lokala lagar, behöver du en effektiv företagsöverensstämmelseplan, tillsammans med efterlevnadspolicyer, utbildningsprogram och ett effektivt efterlevnadsprogram.
i den här artikeln går vi igenom vad en företagsöverensstämmelseplan är och hur du kan utveckla och implementera den effektivt som företagsspecialist.
låt oss dyka rätt in.
Vad är en Corporate Compliance Plan? Varför är det viktigt?
efterlevnadsvärlden förändras ständigt med nya lagar som GDPR, HIPAA, False Claims Act och CCPA introduceras. Samtidigt ökar också granskningsnivån för huruvida företag följer regler och förordningar.
därför kan varje organisation starta ett företagsöverensstämmelseprogram för att säkerställa att det följer alla relevanta lagar och förordningar.
med så många nya organisationer som kommer upp varje dag, kan du inte förvänta dig god tro och etiska metoder från dem alla. Därför är det viktigt att ha lokala, statliga och federala lagar som styr varje företag och upprätthåller etiskt beteende. Att bestämma de etiska standarderna för rättvis affärspraxis kan ta lite försök och fel, det är mycket lättare att upprätthålla etiskt beteende.
varje företag kräver fullständig regulatorisk rapportering för att säkerställa att det inte finns någon överträdelse möjlig, till exempel böter, rättegångar eller andra efterlevnadsproblem. Det är viktigt att lämna in vissa rapporter i tid, inklusive kvartalsvisa bokslut, årliga faktureringsrapporter, hälsa & säkerhetsvarningar och andra dokument. Efterlevnadsavdelningen måste se till att alla uppgifter är korrekta, relevanta och arkiverade korrekt.
för att göra det använder compliance officers en företags compliance plan för att göra processen mer effektiv. Korrigerande åtgärder i form av en företagsöverensstämmelseplan säkerställer att alla riskområden övervakas, alla efterlevnadsproblem hanteras och att det finns lämpliga disciplinära åtgärder mot överträdelser av efterlevnad.
i sådana fall kan även en påstådd överträdelse mot gällande federala lagar vara katastrofal. Därför är det viktigt att vara redo för eventuella överträdelser, revision och interna utredningar.
vikten av en företagsöverensstämmelseplan är mycket mer än de flesta företag anser. Om du inte kan upprätthålla efterlevnadsstandarder (särskilt i saker som hälso-och sjukvårdsprogram som Medicare och Medicaid) och ditt fall landar i Oig (Office Of Inspector General), kommer din organisation att vara i allvarliga problem.
åtgärder för att genomföra en effektiv Företagsöverensstämmelseplan
för att undvika onödiga problem bör du också omvärdera nuvarande företagsöverensstämmelseplaner och genomföra korrigerande åtgärdsplaner för att hantera dem effektivt. Tänk på hur väl den nuvarande planen är utformad, om den tillämpas på rätt sätt och om den verkligen fungerar.
under alla omständigheter kan du följa dessa steg när du beslutar om att genomföra en effektiv företagsöverensstämmelseplan.
-
gör en väl avrundad riskbedömning
riskbedömning är kärnan i varje företags compliance-frågor eftersom en företags compliance-plan i huvudsak sparar organisationen från risk. Därför är det viktigt att börja med att ta reda på vilka risker företaget står inför. Det bästa sättet att göra det är att göra en fullständig riskbedömning.
när du bedömer risker bör du vanligtvis hålla platsen för anläggningarna i åtanke, branschen, regleringslandskapet, potentiella kunder, affärspartners, utländska transaktioner, utländska officiella betalningar och marknadens konkurrenskraft. Du kan också behöva överväga eventuella gåvor du har fått, användning av tredje part, reseloggar, underhållningskostnader och eventuella välgörande, politiska donationer.
medan de flesta av dessa faktorer inte gäller för många företag, är det bäst att förstå och känna dem alla. Poängen är att förstå uppförandestandarderna och förklara dem för alla relevanta intressenter, inklusive nuvarande anställda, nya anställda, styrelseledamöter, juridiska rådgivare, ledande befattningshavare och mer.
det finns några välkända ramverk som ISO 31000 och COSO som de flesta företag compliance officers använder. De flesta organisationer skräddarsyr dock riskbedömningsprocessen för att tillgodose särskilda behov.
i vilket fall som helst kommer riskbedömningen att låta dig:
- identifiera, övervaka, analysera och ta hand om eventuella organisatoriska risker.
- ge nödvändig information som behövs för att fördela resurser beroende på svårighetsgraden av varje risk.
- låt dig vara flexibel för upprepning och regelbunden omvärdering av nuvarande och potentiella risker.
det är viktigt för compliance officer att kommunicera riskbedömningen med styrelsen och ledande befattningshavare innan vi går vidare.
-
utveckla företagspolicyer och rutiner
efter din riskbedömning måste du gå vidare till att utveckla och upprätta policyer och rutiner för efterlevnad. I detta skede måste du följa en uppförandekod, men du kan också inkludera företagsspecifika lagkrav.
du kan behöva utarbeta en compliance committee initialt för att säkerställa att beslutsfattare förstår vad de gör. Det hjälper också till att undvika intressekonflikter, konfidentiella informationsläckor och förbättrar interna kontroller.
företagspolicyer hjälper till att utveckla standardprocedurer för eventuella etiska eller efterlevnadsproblem. Ibland kan policyerna behöva justeras enligt de senaste riskbedömningarna. Därför är det också viktigt att erbjuda efterlevnadsutbildning för att maximera förståelsen för varje anställd.
-
kommunicera och träna med anställda
medan saker som retention är avgörande för varje företag, är det viktigare när du överväger efterlevnadsaktiviteter. De flesta organisationer har ett anställningsvillkor som inte tillåter anställda att direkt rapportera eventuella efterlevnadsproblem. För att undvika det infördes dock nya regler där visselblåsare fick mer makt eftersom varje företag fick mandat att ha en hotline för eventuella klagomål.
i sådana fall är det viktigt att upprätthålla en icke-vedergällning för att minimera kast. Därför är det viktigt att ständigt kommunicera med alla anställda och ge dem nödvändig utbildning. Anställda som inte är fullt utbildade kan inte hållas ansvariga för några problem eller elaka efterlevnadsinsatser.
vanligtvis bör ditt träningsprogram innehålla:
- en riskbaserad strategi-varje anställd med högrisk affärsenheter bör få extra utbildning och uppmärksamhet. Erbjud dem ersättningar, remissmöjligheter och mer för att säkerställa maximal kommunikation.
- skräddarsy till en specifik målgrupp – Utbildning ska ges på medarbetarnas modersmål och format.
- en historia av tidigare episoder – utbildningen bör innehålla tidigare problem med anställda och konsekvenserna av dessa frågor.
det är viktigt att upprätthålla en tvåvägs feedbackkanal för att göra processen mer effektiv.
-
rapportering och utredningar
när du har identifierat riskerna, utvecklat företagspolicyer och utbildat de anställda bör du följa upp rapportering och utredningar. Med det här steget kan du ta reda på om någon anställd ignorerade reglerna, om organisationen saknade något eller om det finns några ytterligare problem.
varje organisation har en utsedd som bevittnar eventuella överträdelser av efterlevnad och rapporterar dem till ledningen. När en rapport har gjorts måste du använda ett systematiskt tillvägagångssätt för att verifiera rapporten. Även företag de ’familjemedlemmar’ bör undersökas för att säkerställa maximal öppenhet.
anställda ska känna sig bekväma att rapportera eventuella tvivelaktiga aktiviteter utan att frukta någon vedergällning. Därför bör en stark visselblåsarprocess genomföras där anonymitet är det främsta problemet.
-
inklusive tredje part
tredje part utgör den största risken för organisationer eftersom det inte finns några intressekonflikter. I de flesta fall där en tredje part är inblandad har det varit någon form av avvikelse. Både betalare och anställda står inför de problem som uppstår genom att inkludera tredje part.
därför är det absolut nödvändigt att ha en due diligence-process för att granska tredje parter. Det kan inkludera partners, konsulter, leverantörer, kunder och mer.
din due diligence-process bör:
- ta ett Riskanpassat tillvägagångssätt-spendera så mycket tid som möjligt och undersöka alla tredje parter du arbetar med för att minimera risken.
- Anslut till ett bredare Riskramverk – det är avgörande att riskramen och due diligence-processen har samma mål. Det är viktigt att kommunicera ditt företags risktolerans eftersom det är viktigt att vara transparent med alla tredje parter.
- balansera intern struktur och resurser – det är viktigt att använda teknik för att identifiera och hantera alla röda flaggor i processen. Automatisering kan användas för att avsevärt minska överflödiga uppgifter i sådana fall.
det är särskilt viktigt att undvika tredje part under interna revisioner och kontroller.
genomföra en stor Corporate Compliance Plan
Corporate compliance är inte bara viktigt i stora nav som New York och San Francisco längre. Varje företag i varje bransch måste följa strikta regler och förordningar för att behålla sin verksamhet.
det är viktigt att följa stegen som nämns ovan för att effektivt genomföra din företagsöverensstämmelseplan. Tänk dock på att varje organisation och bransch är något annorlunda och kan behöva ytterligare tweaking.
en bra företagsöverensstämmelseplan är en där du följer rätt steg samtidigt som du inkluderar företagsspecifika faktorer, vilket säkerställer fullständig efterlevnad.
Josh Fechter är partner på Corporate Compliance HQ och har grundat flera företag inom mjukvara och utbildning.