Wykorzystują one wytyczne zgodne z wymogami prawnymi, kontrolą wewnętrzną - strukturą ramową (COSO), specyfikacjami dla branży,  jak również zawierają praktyki, które inne firmy uznały za skuteczne na podstawie swoich długoletnich programów compliance. 

Podczas realizacji prac u klientów, wykorzystujemy tę strukturę oraz poniższe kryteria, aby wypracować uszytą na miarę naszego klienta funkcję compliance.

Proces zarządzania ryzykiem braku zgodności. Podejscie KPMG.

Pierwszym elementem zarządzania ryzykiem braku zgodności jest identyfikacja ryzyka. Identyfikacja ryzyka pozwala na wstępne zlokalizowanie obszarów ryzyka, które następnie zostaną poddane analizie/ocenie/szacowaniu. Kluczowy dla identyfikacji ryzyka jest dostęp do istotnych źródeł informacji, w tym przede wszystkim takich, jak:

• raporty, rejestry, ewidencje innych departamentów/stanowisk w spółce, w tym w szczególności rejestr ryzyka operacyjnego, skargi klientów, zalecenia pokontrolne zewnętrzne/wewnętrzne,
• anonimowe źródło powiadamiania o nadużyciach/niezgodności (tzw. whistleblowing), w przypadku, gdy takie źródło informacji zostało przewidziane w spółce,
• źródła informacji wynikające z monitorowania otoczenia prawnego oraz reakcje akcjonariuszy i interesariuszy.

Drugim elementem zarządzania ryzykiem braku zgodności jest ocena ryzyka (szacowanie ryzyka). Do katalogu przykładowych metod i technik należą:

• mapy ryzyka,
• analiza scenariuszowa,
• profile ryzyka i odchylenia,
• wskaźniki ryzyka (KRI – key risk indicators) i wykonania (KPI – key performance indicators).

Kontrola ryzyka, czyli stosowanie środków/mechanizmów kontrolnych ograniczających ryzyko, to trzeci etap zarządzania ryzykiem braku zgodności, który wydaje się kluczowym elementem całego procesu. Identyfikacja i ocena ryzyka ma charakter głównie informacyjny. Dopiero poprzez środki/mechanizmy kontrolne spółka podejmuje wysiłek, aby zidentyfikowane i oszacowane ryzyko zmniejszyć. Katalog metod i rodzajów środków/mechanizmów kontrolnych wzięty jest wprost z tradycyjnych rozwiązań systemu kontroli wewnętrznej i uwzględnia:

• podział obowiązków,
• autoryzację i zatwierdzenia (np. akceptacja wzorców umów),
• kontrolę dostępu i kontrolę fizyczną,
• weryfikację,
• nadzór przełożonego,
• rejestr odstępstw,
• szkolenia.

Monitorowanie ryzyka braku zgodności to kolejny etap zarządzania ryzykiem braku zgodności i ma on dwojaki charakter.

Po pierwsze - monitorowanie, jak zmienił się ustalony na podstawie identyfikacji i oceny poziom ryzyka na skutek zastosowanych środków kontrolnych/ograniczających ryzyko braku zgodności. Po drugie, monitorowanie należy rozumieć, jako czynności kontrolne w stosunku do wcześniejszych etapów procesu zarządzania ryzykiem, a więc identyfikowania, oceny i stosowania środków kontrolnych. Bez informacji o skuteczności i efektywności poprzedzających etapów procesu zarządzania ryzykiem, ani zarząd, ani rada nadzorcza nie są w stanie ocenić skuteczności i efektywności funkcji compliance. Przykładowe metody monitorowania:

• testy zgodności,
• ankiety, w tym ankiety samooceny,
• oceny dojrzałości modelu compliance (tzw. compliance maturity model),
• wskaźniki wykonania (np. odsetek przeszkolonych pracowników, rozpatrywanych skarg i wniosków klientów, zakończonych postępowań wyjaśniających, realizacji celów compliance w stosunku do budżetu, tempo wdrażania przepisów i realizacji rekomendacji wewnętrznych oraz zaleceń pokontrolnych zewnętrznych).

Raportowanie jest ostatnim elementem zarządzania ryzykiem braku zgodności. W ramach raportowania należy wyróżnić raporty okresowe (kwartalne, roczne) i bieżące, których szczególnym rodzajem są raporty ad hoc dotyczące wewnętrznych postępowań wyjaśniających. Raporty kwartalne i roczne, powinny być kierowane jednocześnie do rady nadzorczej (komitetu audytu) i zarządu. Powinny one również stanowić element raportowania całościowej funkcji zapewniania zgodności, wedle rozwiązania przyjętego przez spółkę.