Vårt arbete

Compliance

Compliance, eller regelefterlevnad, innebär att en organisation följer relevanta lagar, regler, standarder och etiska principer som gäller inom dess bransch. Att upprätthålla en hög efterlevnadsstandard är inte bara en fråga om att undvika juridiska och ekonomiska problem; det handlar om att agera ansvarsfullt och bygga förtroende hos kunder, investerare och medarbetare.

Compliance täcker allt från finansiell rapportering till hållbarhet och kräver kontinuerlig uppmärksamhet eftersom lagar och förväntningar förändras över tid. Att skapa och bibehålla en hög compliancenivå kräver en kombination av utbildning, övervakning och rapportering. Det är viktigt att kontinuerligt utbilda medarbetare om gällande lagar och hur dessa påverkar deras arbete.

Vi erbjuder skräddarsytt stöd för att stärka er compliancekultur, från utbildningsinsatser till implementering av effektiva processer, övervaknings- och rapporteringssystem. Med vår hjälp kan ni inte bara säkerställa att ni följer alla relevanta lagar och regler, utan också optimera era processer och stärka ert varumärkes förtroende. Vårt mål är att göra er compliancestrategi till en naturlig del av er affärsmodell, vilket öppnar dörren till hållbar tillväxt och framgång.

Compliance

Områden

Nedan har vi några aktuella områden kopplat till compliance med exempel på hur vi kan stödja er i detta.

CSRD

Varför CSRD?

Vi lever i ett icke hållbart samhälle, detta inkluderar vårt företagande i största grad. Att vara företagare är inte lätt, även om man vill vara hållbar ställs man inför beslut i princip varje dag som kan ha en påverkan på samhället, i olika hög grad. Detta gäller även den privata konsumenten. Att ha tydliga direktiv i hur ett företag ska rapportera sin samhällspåverkan är ett sätt att göra flera av dessa beslut enklare. Genom tydligare rapportering blir det svårare för företag att ägna sig åt green washing – hållbarhetsförsköning av verkligheten. CSRD ska, i jämförelse med det tidigare direktivet, NFRD, göra jämförelsen mellan företag lättare, vilket ökar transparensen.

Vad är CSRD?

  • CSRD är inte en hållbarhetslag, utan en rapporteringslag.
  • Detta betyder att man ska se på CSRD/ESRS i liknelse med sin ekonomiska rapport. Det är inte olagligt att ha negativa siffror i rapportering, men det kan skada möjligheten för framtida affärer.
  • CSRD kan även ses som ett verktyg för företag då den inkluderar den dubbla väsentlighetsanalysen, genom denna analys kan arbetet med att prioritera vilka hållbarhetsfrågor som är speciellt viktiga för just ert företag förenklas. Det gör också att man tydligare kan visa varför man har gjort de valen man gjorde.

Vem är ansvarig?

  • En vanlig tro är att en hållbarhetsansvarig eller chef kan lösa ”hållbarhetsfrågan” men den synen är ohållbar och sällan effektiv
  • CSRD är bara ett direktiv som styr hur ni ska rapportera ert hållbarhetsarbete, men arbetet i sig måste genomsyra hela verksamheten och ägas på en ledningsnivå och styrelse.
  • Med det sagt måste varje enskild medarbetare inte bara förstå utan också sträva för att jobba hållbart, precis som de måste jobba för att vara effektiva och kompetenta i sitt arbete.

Hur börjar man?

Det första man måste göra är att se CSRD som en affärsmöjlighet inte ett utgift, därför är det alltid vår rekommendation att man börjar med en utbildning av styrelsen, inte bara i CSRD utan varför det är viktigt både för företaget och för samhället.

Tar man in oss görs sedan en analys av företagets nuläge, sedan kommer vi med en rekommendation på hur i bäst tar oss fram tillsammans, med vårt slutmål i åtanke – att ni själva ska kunna äga och leda hållbarhetsarbetet själva när vi är klara. Exempel på delar vi kan hjälpa er med är:

  • ESG kartläggning och intressentanalys
  • Dubbla väsentlighetsanalys
  • Prioritering av viktiga hållbarhetsfrågor
  • GAP – analys
  • Processoptimering
  • Coachning och mentorskap i hållbarhetsfrågor
NIS2

Målet med NIS-direktiven är att påskynda åtgärder och höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur och för hantering av cybersäkerhetsrisk. Enligt direktivet måste företag vidta ”tekniska, operationella och organisatoriska åtgärder för att hantera risker för säkerheten i nätverk och informationssystem”. Utredningen måste presenteras senast den 23 februari 2024 och NIS2 börjar gälla den 18 oktober 2024 och då måste alla som berörs ha anpassat sina verksamheter – Dvs. inte mycket tid mellan utredning och efterlevnad av direktivet.

Införande

Vi på do-be consulting kan hjälpa er att analysera nuläget och skapa processer för att uppfylla de nya kraven.

AML/KYC

Dessa regelverk är grundläggande för företag att följa för att bekämpa finansiell brottslighet, inklusive penningtvätt och finansiering av terrorism.

Know Your Customer (KYC)-processen handlar om att djupgående förstå vem kunden är. Genom att identifiera och verifiera kundens identitet kan företag effektivt övervaka transaktioner och flagga för eventuella avvikelser som kan tyda på olaglig verksamhet. 

Anti Money Laundering (AML)-regelverket omfattar en bred uppsättning procedurer och metoder för att förhindra att företagets tjänster missbrukas för penningtvätt. Detta inkluderar kontinuerlig övervakning av kundtransaktioner och rapportering av misstänkta aktiviteter till relevanta myndigheter.

Införande

Vi på do-be consulting har en erfarenhet av att implementera och effektivisera KYC- och AML-processer för våra kunder. Vi förstår utmaningarna som följer med att uppfylla dessa regulatoriska krav och arbetar nära våra klienter för att skräddarsy lösningar som inte bara möter lagkrav utan även stärker er verksamhet och skyddar den från finansiella risker.

Visselblåsarlagen

.Trädde i kraft 17 december 2021. Syftet är att göra det säkrare, tryggare och enklare att rapportera missförhållanden i verksamheter Interna funktioner och rapporteringskanaler skall finnas på plats.

  • Privata bolag fler än 249 anställda – 17 juli 2022
  • Offentliga verksamheter med < 50 anställda – 17 juli 2022
  • Privata verksamheter med fler än 50 anställda – 17 december 2023.

Införande

Vi på do-be consulting kan hjälpa er att analysera nuläget och effektivisera processer i enlighet med lagen.

GDPR

General Data Protection Regulation (GDPR) är en omfattande lagstiftning som trädde i kraft den 25 maj 2018 inom EU för att stärka och harmonisera skyddet av personuppgifter. Den gäller för alla typer av organisationer som hanterar persondata, inklusive företag, myndigheter och föreningar. GDPR:s huvudsyfte är att ge individer mer kontroll över sina egna data och kräver av organisationerna att de hanterar dessa uppgifter på ett transparent och säkert sätt.

Nyckelpunkter i GDPR inkluderar:

  • Strängare krav på hur samtycke för datainsamling inhämtas.
  • Krav på organisationer att implementera starka dataskyddsåtgärder och vid behov utse ett dataskyddsombud.
  • Ökade rättigheter för individer att få tillgång till, korrigera, och i vissa fall radera sina personuppgifter. 

Införande

Vi på do-be consulting har mångårig erfarenhet av att hjälpa kunder med att införa och effektivisera rutiner i enligt med dataskyddsförordningen GDPR.

  • Effektivisera arbetssätt och framtagande av dokumentation för Privacy by default/design och incidenthantering
  • Uppfyllnad av GDPR’s principer
  • Implementation av omfattande program för GDPR-compliance
ESG

Environmental, Social, and Governance (ESG) är en modell för hållbarhetsbedömning. Det innefattar tre huvudområden: miljö, socialt ansvar, och bolagsstyrning.

  • Miljö (E): Fokuserar på företagets påverkan på naturen och inkluderar åtgärder som klimatåtgärder och minskning av utsläpp.
  • Socialt ansvar (S): Handlar om företagets förhållande till människor, inklusive arbetsförhållanden, inkludering och bidrag till samhället.
  • Styrning (G): Berör hur företaget styrs och inkluderar ämnen som företagsetik och transparens.

Införande

Vi på do-be consulting kan hjälpa er att integrera ESG i verksamheten för att främja hållbarhet för företaget och samhället.

Ett typiskt genomförande i 4 steg

Nuläge

  • Utvärdera befintliga processer och system
  • Skapa gap-analys

Planering

Sätt tidsplan med aktiviteter, roller och ansvar utifrån gap-analys

Genomförande

  • Samordna enligt aktivitetsplan
  • Kvalitetssäkring och validering med processägare

Compliance

  • Utbildning
  • Lagen träder i kraft
  • Lessons Learned
  • Utvärdering

Tidigare uppdrag

Case

AML/KYC: Nya rutiner

Utmaning

Kunden, en aktör inom finanssektorn, stod inför en betydande utmaning. De behövde modernisera och effektivisera sina AML/KYC-processer för att möta och överträffa de allt striktare compliancekraven. Deras befintliga system behövde effektiviseras för att kunna hantera den växande volymen av transaktioner och de komplexa mönstren av potentiell penningtvätt.

Uppdrag

Vårt uppdrag var att transformera kundens AML-processer genom införandet av automatiserade system för att göra KYC-kontroll av kunden samt hantera AML-data. Målet var att implementera en lösning som inte bara effektiviserar identifieringen och rapporteringen av misstänkta transaktioner utan också ökar den övergripande effektiviteten i KYC-kontrollen. Detta innebar en djupgående analys av de nuvarande processerna, utvärdering av tillgängliga teknologier och skräddarsydd utveckling av verktyg som kunde integreras med kundens befintliga system.

Resultat

Genomförandet av de automatiserade AML-processerna avslutades framgångsrikt inom den uppsatta tidsramen och levererade de önskade resultaten. Den nya lösningen möjliggjorde en betydligt snabbare och mer precis identifiering av riskfyllda transaktioner, vilket markant ökade kundens förmåga att agera proaktivt mot penningtvätt. Dessutom bidrog den till förbättrad rapporteringskvalitet och efterlevnad av gällande rapporteringsregler. Övergången till automatiserade processer innebar också en långsiktig investering i kundens förmåga att anpassa sig till framtida regulatoriska förändringar och utmaningar inom AML-området.

GDPR Kreditbolag

Utmaning

Kunden, ett växande kreditföretag, stod inför behovet av att anpassa sina processer och rutiner för att uppfylla kraven i dataskydds-förordningen GDPR. GDPR:s strikta krav på behandling av personuppgifter innebar att kunden behövde införa genomtänkta och effektiva dataskyddsprinciper.

Utmaningen låg i att utveckla en dataskyddsstrategi som inte bara var reaktiv, utan proaktiv – en strategi som implementerade ”Privacy by Design” och ”Privacy by Default” samt effektiv incidenthantering.

Uppdrag

För att möta dessa utmaningar anlitades vi för att utveckla ett anpassat arbetssätt och skapa nödvändig dokumentation som skulle ligga till grund för dataskyddsarbetet. Uppdraget inkluderade framtagandet av detaljerade rutiner för hur dataskydd skulle integreras i alla delar av organisationen från start, samt utveckling av processer för snabb och effektiv hantering av eventuella dataskyddsincidenter. Dessutom ingick att säkerställa att alla GDPR:s grundprinciper efterlevdes i organisationens dagliga verksamhet.

Resultat

Arbetet genomfördes framgångsrikt och levererades inom utsatt tid. Resultatet blev ett omfattande dataskyddspaket som integrerades sömlöst i kundens verksamhet, vilket säkerställde att de blev fullständigt GDPR-compliant. Detta inkluderade inte bara de initiala målen om ”Privacy by Design” och effektiv incidenthantering utan även en omfattande förståelse och implementering av GDPR:s principer i organisationens alla skikt.

 

Fler Case
GDPR: Retailbank

Utmaning

Med cirka 250 system och tjänster som hanterade känslig information om kunder och anställda, blev behovet av en systematisk och strukturerad ansats för dataskydd alltmer kritisk. Införandet av den nya dataskyddsförordningen GDPR satte ytterligare press på företaget att omvärdera och stärka sina dataskyddsprinciper och processer. Utmaningen låg i att skapa en enhetlig strategi som inte bara efterlevde de nya strikta regelverken utan också var skalbar och applicerbar över flera länder och organisationer inom koncernen.

Uppdrag

För att tackla denna utmaning etablerades ett nordiskt program med syftet att uppnå fullständig efterlevnad av GDPR. Programmet, designat för att harmonisera och standardisera dataskyddsarbetet, satte en tydlig målbild för efterlevnad. Uppdraget omfattade utveckling av en centraliserad ram för GDPR-compliance, inriktad på att identifiera, kategorisera och säkerställa skyddet av personuppgifter i alla system och tjänster. För att effektivisera implementeringen delades programmet in i sex arbetsströmmar, var och en fokuserad på specifika aspekter av dataskydd, från tekniska lösningar till organisatoriska processer och policyer.

Resultat

Det etablerade GDPR-programmet resulterade i ett omfattande ramverk för dataskydd som integrerades över hela den nordiska organisationen. Genom de sex arbetsströmmarna kunde konkreta och skräddarsydda underlag tas fram, vilka tjänade som vägledning för lokala projektledare i respektive land och organisation. Dessa underlag möjliggjorde en effektiv och enhetlig implementering av GDPR-åtgärder, anpassade efter lokala behov och förutsättningar. Programmet säkerställde inte bara att företaget blev GDPR-compliant, utan stärkte även den övergripande dataskyddskulturen och medvetenheten inom koncernen.