Vårt arbete

Compliance

Compliance, eller regelefterlevnad, innebär att en organisation följer relevanta lagar, regler, standarder och etiska principer som gäller inom dess bransch. Att upprätthålla en hög efterlevnadsstandard är inte bara en fråga om att undvika juridiska och ekonomiska problem; det handlar om att agera ansvarsfullt och bygga förtroende hos kunder, investerare och medarbetare.

Compliance täcker allt från finansiell rapportering till hållbarhet och kräver kontinuerlig uppmärksamhet eftersom lagar och förväntningar förändras över tid. Att skapa och bibehålla en hög compliancenivå kräver en kombination av utbildning, övervakning och rapportering. Det är viktigt att kontinuerligt utbilda medarbetare om gällande lagar och hur dessa påverkar deras arbete.

Vi erbjuder skräddarsytt stöd för att stärka er compliancekultur, från utbildningsinsatser till implementering av effektiva processer, övervaknings- och rapporteringssystem. Med vår hjälp kan ni inte bara säkerställa att ni följer alla relevanta lagar och regler, utan också optimera era processer och stärka ert varumärkes förtroende. Vårt mål är att göra er compliancestrategi till en naturlig del av er affärsmodell, vilket öppnar dörren till hållbar tillväxt och framgång.

Compliance

Områden

Nedan har vi några aktuella områden kopplat till compliance med exempel på hur vi kan stödja er i detta.

CSRD

Stora företag

CSRD eller Corporate Sustainability Reporting Directive är ett EU direktiv som ersätter tidigare reglering NFRD eller Non Financial Reporting Directive. Båda behandlar hållbarhetsrapportering för företag men CSRD skärper kraven på hur företagen rapporterar sin hållbarhet. Målet är att det på sikt ska göra att kvalitén på hållbarhetsrapporten ska hålla samma standard som den ekonomiska rapporten. Redan 2025 förväntas NFRD företag (publika bolag med över 500 anställda) redovisa enligt CSRD (resultat från 2024) och 2025 ska stora företag* redovisa enligt de nya standarderna.

* Balansomslutning mer än 25 M EUR, Omsättning mer än 50 M EUR. Fler än 250 anställda

Mellanstora och små företag

För mellanstora och små företag finns ännu inget krav på denna redovisningen, men trycket från kunder och andra intressenter ökar.
VSME standarderna (volontary standards for small and medium Enterprises) är riktlinjer för små och medelstora företag som vill förbereda sig eller jobba med de nya direktiven proaktivt.
Modulerna är likt direktiven för större företag fokuserade på hur företagen påverkar människor och miljön kopplat till ESG-modellen (Environmental, Social and Governance) men fokuserar på proportionalitet.

Införande

Vi på do-be consulting kan hjälpa er med införandet av CSRD.

Kartläggning av företagets påverkan kopplat till data points från ESRS.
Dubbelväsentlighetsanalys av ert företag.
Stöd i rapporteringen följande VSME.
Utbildning av hållbarhetsrapportering inklusive, ESG, CSRD och ESRS för ledningsgrupper, chefer och anställda.

NIS2

Målet med NIS-direktiven är att påskynda åtgärder och höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur och för hantering av cybersäkerhetsrisk. Enligt direktivet måste företag vidta ”tekniska, operationella och organisatoriska åtgärder för att hantera risker för säkerheten i nätverk och informationssystem”. Utredningen måste presenteras senast den 23 februari 2024 och NIS2 börjar gälla den 18 oktober 2024 och då måste alla som berörs ha anpassat sina verksamheter – Dvs. inte mycket tid mellan utredning och efterlevnad av direktivet.

Införande

Vi på do-be consulting kan hjälpa er att analysera nuläget och skapa processer för att uppfylla de nya kraven.

AML/KYC

Dessa regelverk är grundläggande för företag att följa för att bekämpa finansiell brottslighet, inklusive penningtvätt och finansiering av terrorism.

Know Your Customer (KYC)-processen handlar om att djupgående förstå vem kunden är. Genom att identifiera och verifiera kundens identitet kan företag effektivt övervaka transaktioner och flagga för eventuella avvikelser som kan tyda på olaglig verksamhet. 

Anti Money Laundering (AML)-regelverket omfattar en bred uppsättning procedurer och metoder för att förhindra att företagets tjänster missbrukas för penningtvätt. Detta inkluderar kontinuerlig övervakning av kundtransaktioner och rapportering av misstänkta aktiviteter till relevanta myndigheter.

Införande

Vi på do-be consulting har en erfarenhet av att implementera och effektivisera KYC- och AML-processer för våra kunder. Vi förstår utmaningarna som följer med att uppfylla dessa regulatoriska krav och arbetar nära våra klienter för att skräddarsy lösningar som inte bara möter lagkrav utan även stärker er verksamhet och skyddar den från finansiella risker.

Visselblåsarlagen

.Trädde i kraft 17 december 2021. Syftet är att göra det säkrare, tryggare och enklare att rapportera missförhållanden i verksamheter Interna funktioner och rapporteringskanaler skall finnas på plats.

  • Privata bolag fler än 249 anställda – 17 juli 2022
  • Offentliga verksamheter med < 50 anställda – 17 juli 2022
  • Privata verksamheter med fler än 50 anställda – 17 december 2023.

Införande

Vi på do-be consulting kan hjälpa er att analysera nuläget och effektivisera processer i enlighet med lagen.

GDPR

General Data Protection Regulation (GDPR) är en omfattande lagstiftning som trädde i kraft den 25 maj 2018 inom EU för att stärka och harmonisera skyddet av personuppgifter. Den gäller för alla typer av organisationer som hanterar persondata, inklusive företag, myndigheter och föreningar. GDPR:s huvudsyfte är att ge individer mer kontroll över sina egna data och kräver av organisationerna att de hanterar dessa uppgifter på ett transparent och säkert sätt.

Nyckelpunkter i GDPR inkluderar:

  • Strängare krav på hur samtycke för datainsamling inhämtas.
  • Krav på organisationer att implementera starka dataskyddsåtgärder och vid behov utse ett dataskyddsombud.
  • Ökade rättigheter för individer att få tillgång till, korrigera, och i vissa fall radera sina personuppgifter. 

Införande

Vi på do-be consulting har mångårig erfarenhet av att hjälpa kunder med att införa och effektivisera rutiner i enligt med dataskyddsförordningen GDPR.

  • Effektivisera arbetssätt och framtagande av dokumentation för Privacy by default/design och incidenthantering
  • Uppfyllnad av GDPR’s principer
  • Implementation av omfattande program för GDPR-compliance
ESG

Environmental, Social, and Governance (ESG) är en modell för hållbarhetsbedömning. Det innefattar tre huvudområden: miljö, socialt ansvar, och bolagsstyrning.

  • Miljö (E): Fokuserar på företagets påverkan på naturen och inkluderar åtgärder som klimatåtgärder och minskning av utsläpp.
  • Socialt ansvar (S): Handlar om företagets förhållande till människor, inklusive arbetsförhållanden, inkludering och bidrag till samhället.
  • Styrning (G): Berör hur företaget styrs och inkluderar ämnen som företagsetik och transparens.

Införande

Vi på do-be consulting kan hjälpa er att integrera ESG i verksamheten för att främja hållbarhet för företaget och samhället.

Ett typiskt genomförande i 4 steg

Nuläge

  • Utvärdera befintliga processer och system
  • Skapa gap-analys

Planering

Sätt tidsplan med aktiviteter, roller och ansvar utifrån gap-analys

Genomförande

  • Samordna enligt aktivitetsplan
  • Kvalitetssäkring och validering med processägare

Compliance

  • Utbildning
  • Lagen träder i kraft
  • Lessons Learned
  • Utvärdering

Tidigare uppdrag

Case

AML/KYC: Nya rutiner

Utmaning

Kunden, en aktör inom finanssektorn, stod inför en betydande utmaning. De behövde modernisera och effektivisera sina AML/KYC-processer för att möta och överträffa de allt striktare compliancekraven. Deras befintliga system behövde effektiviseras för att kunna hantera den växande volymen av transaktioner och de komplexa mönstren av potentiell penningtvätt.

Uppdrag

Vårt uppdrag var att transformera kundens AML-processer genom införandet av automatiserade system för att göra KYC-kontroll av kunden samt hantera AML-data. Målet var att implementera en lösning som inte bara effektiviserar identifieringen och rapporteringen av misstänkta transaktioner utan också ökar den övergripande effektiviteten i KYC-kontrollen. Detta innebar en djupgående analys av de nuvarande processerna, utvärdering av tillgängliga teknologier och skräddarsydd utveckling av verktyg som kunde integreras med kundens befintliga system.

Resultat

Genomförandet av de automatiserade AML-processerna avslutades framgångsrikt inom den uppsatta tidsramen och levererade de önskade resultaten. Den nya lösningen möjliggjorde en betydligt snabbare och mer precis identifiering av riskfyllda transaktioner, vilket markant ökade kundens förmåga att agera proaktivt mot penningtvätt. Dessutom bidrog den till förbättrad rapporteringskvalitet och efterlevnad av gällande rapporteringsregler. Övergången till automatiserade processer innebar också en långsiktig investering i kundens förmåga att anpassa sig till framtida regulatoriska förändringar och utmaningar inom AML-området.

GDPR Kreditbolag

Utmaning

Kunden, ett växande kreditföretag, stod inför behovet av att anpassa sina processer och rutiner för att uppfylla kraven i dataskydds-förordningen GDPR. GDPR:s strikta krav på behandling av personuppgifter innebar att kunden behövde införa genomtänkta och effektiva dataskyddsprinciper.

Utmaningen låg i att utveckla en dataskyddsstrategi som inte bara var reaktiv, utan proaktiv – en strategi som implementerade ”Privacy by Design” och ”Privacy by Default” samt effektiv incidenthantering.

Uppdrag

För att möta dessa utmaningar anlitades vi för att utveckla ett anpassat arbetssätt och skapa nödvändig dokumentation som skulle ligga till grund för dataskyddsarbetet. Uppdraget inkluderade framtagandet av detaljerade rutiner för hur dataskydd skulle integreras i alla delar av organisationen från start, samt utveckling av processer för snabb och effektiv hantering av eventuella dataskyddsincidenter. Dessutom ingick att säkerställa att alla GDPR:s grundprinciper efterlevdes i organisationens dagliga verksamhet.

Resultat

Arbetet genomfördes framgångsrikt och levererades inom utsatt tid. Resultatet blev ett omfattande dataskyddspaket som integrerades sömlöst i kundens verksamhet, vilket säkerställde att de blev fullständigt GDPR-compliant. Detta inkluderade inte bara de initiala målen om ”Privacy by Design” och effektiv incidenthantering utan även en omfattande förståelse och implementering av GDPR:s principer i organisationens alla skikt.

 

GDPR: Retailbank

Utmaning

Med cirka 250 system och tjänster som hanterade känslig information om kunder och anställda, blev behovet av en systematisk och strukturerad ansats för dataskydd alltmer kritisk. Införandet av den nya dataskyddsförordningen GDPR satte ytterligare press på företaget att omvärdera och stärka sina dataskyddsprinciper och processer. Utmaningen låg i att skapa en enhetlig strategi som inte bara efterlevde de nya strikta regelverken utan också var skalbar och applicerbar över flera länder och organisationer inom koncernen.

Uppdrag

För att tackla denna utmaning etablerades ett nordiskt program med syftet att uppnå fullständig efterlevnad av GDPR. Programmet, designat för att harmonisera och standardisera dataskyddsarbetet, satte en tydlig målbild för efterlevnad. Uppdraget omfattade utveckling av en centraliserad ram för GDPR-compliance, inriktad på att identifiera, kategorisera och säkerställa skyddet av personuppgifter i alla system och tjänster. För att effektivisera implementeringen delades programmet in i sex arbetsströmmar, var och en fokuserad på specifika aspekter av dataskydd, från tekniska lösningar till organisatoriska processer och policyer.

Resultat

Det etablerade GDPR-programmet resulterade i ett omfattande ramverk för dataskydd som integrerades över hela den nordiska organisationen. Genom de sex arbetsströmmarna kunde konkreta och skräddarsydda underlag tas fram, vilka tjänade som vägledning för lokala projektledare i respektive land och organisation. Dessa underlag möjliggjorde en effektiv och enhetlig implementering av GDPR-åtgärder, anpassade efter lokala behov och förutsättningar. Programmet säkerställde inte bara att företaget blev GDPR-compliant, utan stärkte även den övergripande dataskyddskulturen och medvetenheten inom koncernen.