compliance-header-blog-säulen gerichtsgebäude

Hantering av efterlevnad i små och medelstora företag - nödvändigt eller frivilligt?

Viola Beecken

DQS auditor
mars 31 , 2022

Med efterlevnad menas "att följa regler" - oavsett vilken typ av regel det är och vem som gör den. Vid överträdelser är företagets högsta ledning direkt ansvarig. Organisationer måste därför besluta om de ska införa ett företagsövergripande system för hantering av regelefterlevnad (CMS) för att säkerställa att reglerna följs. Men det slutar inte där. Hur exakt kontrollerar man effektiviteten hos ett CMS?

Innehåll

När det gäller efterlevnadshantering i små och medelstora företag kan utformningen och tillämpningen av ett system för efterlevnadshantering (CMS) vid första anblicken tyckas vara en tidskrävande ekonomisk börda för alla företag. Men om man tittar djupare finner man intressanta perspektiv: med stöd av ledningsorganet, men också genom att interna och externa revisorer granskar om CMS är lämpligt och effektivt, växer efterlevnadskulturen på ett hållbart sätt och öppnar möjligheten att öka företagets framgång och därmed öka företagets värde.

Vilka är de viktigaste motiven för att inrätta ett CMS?

Majoriteten av de små och medelstora företagen anser att de viktigaste motiven för att inrätta ett CMS är att undvika ansvar och förebygga korruption. I allt högre grad blir dock också kraven från affärspartner och skyddet av anseendet allt viktigare. Korruption, överträdelser av konkurrenslagstiftningen och dataskydd står regelbundet högst upp på listan över relevanta efterlevnadsfrågor. Andra viktiga frågor är arbetsnormer och sociala normer i företaget.

Å andra sidan är små och medelstora företag rädda för den extra börda som efterlevnaden innebär för organisationen i form av så kallad byråkrati. Ett vettigt tillvägagångssätt för små och medelstora företag måste därför skilja sig avsevärt från det som gäller för stora företag.

Identifiera faror

Först och främst är det viktigt att företaget klargör för sig självt sina individuella risker för efterlevnad genom en riskanalys. Endast inom dessa viktiga identifierade riskområden bör befintliga bestämmelser och beteenden sedan ses över och vid behov kompletteras. Exempelvis kan företagen först undersöka om kritiska delområden i företaget (t.ex. dataskydd inom personalavdelningen) eller enskilda typer av efterlevnad omfattas, t.ex. efterlevnad av rättsliga skyldigheter inom hälsa och säkerhet på arbetsplatsen. Med andra ord: Åtgärder för efterlevnad är i slutändan rimliga och nödvändiga om de bygger just på denna riskbedömning.

Hantering av efterlevnad i små och medelstora företag: Relevanta standarder

Den första standarden som publiceras i april 2021 är naturligtvis ISO 37301:2021-04. Standarden formulerar krav på system för hantering av efterlevnad med riktlinjer för tillämpningen. Standarden finns tillgänglig hos Beuth. Under tiden har ISO 19600:2016-12 (Compliance management systems - Guidelines) dragits tillbaka.

ISO 31000:2018-10 är också intressant med tanke på riskorientering. Standarden innehåller riktlinjer för hantering av de risker som företag står inför. Standarden är tillgänglig från Beuth.

Revisioner för att säkerställa effektiviteten?

Särskilt med tanke på de juridiska representanternas ledningsskyldighet måste en kontinuerlig effektivitetsrevision placeras vid sidan av det faktiska CMS. Orsaken till detta ligger i rättspraxis. Här måste ledningen uppfylla två uppgifter som en del av sin övervakningsskyldighet: Å ena sidan måste den övervaka de åtgärder som vidtagits i företaget för att säkerställa efterlevnaden. För det andra måste den kritiskt övervaka deras effektivitet - och göra det regelbundet, inte bara ad hoc. Denna skyldighet gäller för styrelseledamöter i aktiebolag liksom för verkställande direktörer i aktiebolag.

"Effektivitetsgranskningen av CMS av en oberoende tredje part är det objektiva beviset på att övervakningsskyldigheterna uppfylls."

Övervakningen syftar till att säkerställa att de genomförda principerna (beteendestrategier, policyer etc.) och åtgärderna (utbildning, kontroller etc.) i CMS är lämpliga för att förhindra, avsevärt försvåra eller i tid upptäcka regelöverträdelser enligt definitionen i CMS. CMS:ets effektivitet kan kontrolleras genom interna och externa kontroller:

  • Övervakning av effektiviteten genom interna kontroller: Övervakning som är intern i systemet kallas "intern kontroll". Denna kontroll är en väsentlig del av ett CMS, som också kan kallas kvalitetsstyrning (QM). Kvalitetsstyrning omfattar således alla åtgärder som bidrar förberedande, kompletterande och efterföljande till att skapa eller bibehålla en på förhand definierad kvalitet på systemet.
  • Övervakning av effektiviteten genom externa kontroller: Övervakning utanför systemet kallas "granskning" eller "revision". I denna form av övervakning är granskningsenheten oberoende av systemet och är inte inblandad i att åstadkomma dess faktiska tillstånd. Det finns en fördel med detta oberoende. CMS granskas av externa revisorer (t.ex. advokater, revisorer, ackrediterade certifierare som DQS eller andra externa experter).

Regelbundna översyner - Välplanerad

För att säkerställa att de systemoberoende granskningarna är effektiva bör intervallerna vara välplanerade. En översyn kan vara till hjälp när ett CMS är nyligen implementerat. Dessutom bör externa granskningar upprepas regelbundet vart tredje till femte år. Ibland genomförs granskningar efter att överträdelser av efterlevnaden har identifierats. Även med ett etablerat CMS blir det dock allt tydligare att regelbundna revisioner betraktas som de facto obligatoriska. Förutom processrelaterade kontroller bör CMS:s utformning, lämplighet och effektivitet granskas regelbundet och oberoende systemrevisioner eller certifieringar bör helst äga rum en gång om året och minst vart tredje år.

Fördelar med revisioner av efterlevnad

När det gäller hantering av efterlevnad i små och medelstora företag kan man i allmänhet förvänta sig ett mervärde av efterlevnadsrevisioner enligt följande:

  • Optimering av befintliga processer
  • Uppfattning om svagheter i CMS
  • Ökad effektivitet och ändamålsenlighet i CMS.
  • Införande av moderna standarder.
  • Upprättande av en kultur för efterlevnad.
  • Ökad konkurrenskraft
  • Säkerhet för den operativa verksamheten
  • Säkerställande av hållbar företagsframgång
  • Ökning av företagets värde

Rätt revisor - de viktigaste beslutskriterierna:

Effektivitetsrevisioner av CMS innebär multidisciplinära krav.
Därför måste revisorns yrkeskompetens komma i första hand.

→ Till exempel måste revisorn ha relevant juridisk och affärsmässig kunskap samt branscherfarenhet .

Revisorns oberoende måste garanteras (oberoende i sak, men även i förhållande till allmänheten, oberoende i skenet).

→ Slutligen är det viktigt att revisionen har ett gott rykte på marknaden.

→ Ett exempel på etablerade revisions- och certifieringsstandarder är till exempel IDW:s revisionsstandard "Principles of Proper Auditing of Compliance Management Systems" (IDW PS 980).

→ Resultaten av externa revisioner av CMS kan användas för att "certifiera" ett reviderat CMS. Det certifikat som utfärdas utgör ett externt bevis på att de definierade kraven för CMS uppfylls. Det definierar certifikatets giltighetstid och omfattning, målobjektet och granskningsförfarandet (föremål, typ och omfattning av granskningen) samt krav på revisionsorganets oberoende och kompetens ("ackreditering").

baretton-gerber-2-dqs

More about compliance audits by DQS

  • Valid analys av efterlevnadsrisker i ditt företag
  • Systematisk efterlevnad av rättsliga bestämmelser
  • Effektiv minskning av ansvarsrisker
  • Förbättrad företagsimage
Get informed now

Slutsats

Förvaltningen av ett effektivt och ekonomiskt system för hantering av efterlevnad kan också stödjas och vidareutvecklas av en extern revision. Revisorn stöder företagsledningen i arbetet med att skapa och befästa efterlevnadskulturen.

Förutsättningen är att den externa experten väljs samvetsgrant. Med överlägsna jämförelsemöjligheter, erfarenheter från andra företag och sin syn på saker och ting som en neutral tredje part måste han kunna utgöra en värdefull diskussionspartner. Det är också viktigt att välja ett lämpligt regelverk som grund för externa revisioner.

DQS: Simply leveraging Quality.

Som internationellt erkänd certifierare av ledningssystem och processer genomför DQS revisioner under mer än 30 000 revisionsdagar per år. Vårt krav börjar där revisionschecklistorna slutar: Ta oss på orden! Vi ser fram emot att prata med dig och visar dig gärna vad våra revisioners prestanda och kvalitet bygger på, vilket är:

  • Kompetenta revisorer med integritet och branscherfarenhet.
  • Skräddarsydda lösningar som är lämpliga för din organisation och ditt ledningssystem.
  • Riktad identifiering av potentiella svagheter och risker.
  • Objektiva, begripliga resultat och omfattande beslutsunderlag.
  • Internationellt erkända certifikat med hög acceptans på marknaden
  • Uppföljning av revisions- och analysresultaten, inklusive effektivitetskontroller av vidtagna åtgärder.
  • Individuell utveckling och skapande av kriteriekataloger och utvärderingssystem.
fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Do you have any questions?

Kontakta oss - utan förpliktelser och kostnadsfritt.

We look forward to talking with you.
Författare
Viola Beecken

Viola Beecken is an auditor and tax consultant with her own office in Hamburg, Germany, as well as an auditor of DQS for the auditing standard IDW PS 980 "Principles of proper auditing of compliance management systems". Furthermore, she is active in the field of quality assurance systems for auditors ("Peer Review") and tax consultants (ISO 9000:2015).

Några frågor?

Vi finns här för dig.
Kontakta oss