En gedigen analys av compliance-riskerna ger mer värde till hur compliance-arbetet ska utformas

Nu i dagarna lanserar PwC sin årliga State of Compliance undersökning. På en förhandspresentation av resultaten som redan hölls för någon vecka sedan diskuterades bland annat om benchmarking-konceptet ”Total-cost-of-compliance” är dött. Frågan kom upp då det i undersökningen hade visat sig att de tillfrågade compliance-ansvariga i många fall hade mycket svårt att svara på frågan om vilken compliance-budget som finns i respektive bolag.

Konceptet ”Total-cost-of compliance” är i teorin ett instrument för att på ett strukturerat sätt ska kunna räkna fram organisationens totala kostnad (som bland annat personal- och systemkostnader) för att vara ”compliant” med alla relevanta lagar och regler. Den totala kostnadssumman används sedan ofta för att jämföra sig mot andra liknande organisationer, oftast i samma bransch (”benchmark”). Insikterna från denna jämförelse är bland annat utgångspunkt för en utvärdering av compliance-funktionens effektivitet och dess vidare utveckling.

Problemet är bara att direkta eller indirekta compliance-kostnader i verkligheten är svåra att definiera. Därför hoppar vissa kostnadsuppskattningar för kort (till exempel bara täcker in personal-kostnaderna inom compliance-funktionen) eller - i försöket att fånga in det mesta - helt enkelt blir för komplexa för att med rimliga resurser komma fram till en seriös siffra.

Men det finns en lösning!

Intressant är nämligen att det i konceptet också berörs de kostnaderna som skulle uppstå i fall man inte är compliant, så kallade ”Total-cost-of-non-compliance”. Det kan handla om böter från myndigheter på grund av bristande regelefterlevnad, eller kundförluster på grund av att tillverkade produkter inte håller branschens kvalitetsstandard. Dessa kostnader handlar alltså egentligen om direkta riskkostnader för non-compliance och är enligt min mening intressantare och mycket mer värda att lägga resurserna på.

Riskkostnaderna utgör nämligen ett tydligt ”business case” för vilka insatser och resurser som krävs av en organisation för att leva upp till lagar och regler. Utifrån den synvinkeln är de faktiska compliance-kostnaderna nästan ointressanta eftersom de är - utifrån ett rent riskperspektiv - helt enkelt nödvändiga.

Därför mitt tips: Glöm konceptet ”Total-cost-of-compliance”-uppskattningen och lägg resurserna i stället på en ordentlig riskanalys på era compliance-risker. Gör till exempel så här:

1. Kartlägg i ett första steg de mest kritiska externa lagarna och reglerna som ni måste följa (till exempel branschstandarder, börsregler, skatteregler etc.)
2. Kartlägg för varje identifierat regelverk de befintliga rutinerna och funktionerna som ska säkerställa att regelverket i fråga efterlevs
3. Bedöm utifrån nuläget ovan både sannolikheten för att ni inte lever upp till kraven, samt konsekvenserna (reputation, böter, kundförluster), gärna i pengar.
4. Prioritera de områdena där risken för ”non-compliance” är störst och ta fram en handlingsplan för att stänga luckorna.
5. Följ upp och bygga vidare på de nödvändiga rutinerna, så småningom också för mindre kritiska regelverk eller viktiga interna regelverk (till exempel Code of Conduct)

På det viset kan ni vara säkra på att ert compliance-arbete adresserar det viktigaste. Utifrån ett effektiviseringsperspektiv leder ett sådant tillvägagångssätt också till insikter om de compliance-områdena där man i förhållande till områden med högre risk hittills kanske har gjort ”för mycket”.