Mange norske virksomheter har over tid arbeidet aktivt og godt med compliance- og kriminalitetsforebyggende tiltak og tar dette på aller største alvor. Dessverre har ikke alle gjort dette. Mange er ikke i nærheten av å ha etablert det som kan sies å være minimumskrav for at styret og ledelse kan sies å ivareta sitt ansvar etter aksjeloven. Mange er et sted midt mellom dette. For de som har arbeidet med dette i flere år og er bedre enn mange andre, er det likevel viktig å stille seg dette spørsmålet. Vi tror innholdet i denne artikkelen kan være nyttig for mange.
Utgangspunktet
Compliance handler om etterlevelse av regler og retningslinjer. En virksomhet er normalt omfattet av en lang rekke lover og regler. Mange som har et complianceprogram, som er godt beskrevet, definerer hvilke lover og regler (og risiko) complianceprogrammet er ment å omfatte. De fleste legger samtidig til grunn at alle relevante lover og regler skal følges av virksomheten, dens ansatte og de som eventuelt opererer på vegne av virksomheten.
Ved utviklingen av et complianceprogram har mange gjerne tatt utgangspunkt i anerkjent veiledning fra britiske og amerikanske myndigheter, fra OECD eller Transparency International. Nederst i artikkelen finner du en oversikt over flere slike veiledninger o.l. samt lenker til disse. I 2016 kom det en ISO-standard (37001 Anti-bribery Management Systems) og Økokrim har i flere sammenhenger presentert sine «ni punkter» for hva et slikt program bør inneholde. Noen av disse, og som flere har lagt til grunn i sitt arbeid, tar utgangspunkt i korrupsjon, mens andre er mer omfattende hva gjelder kriminalitetstyper/regelsett som skal ivaretas av programmet. ISO 19600:2014 Compliance management systems (veiledning) har hatt et mer helhetlig perspektiv på compliance. Denne er nå helt nylig blitt erstattet med ISO 37301:2021 Compliance management systems (april 2021), men er en standard som dessverre få norske virksomheter kjenner til eller har vist engasjement overfor. Noe av det nye med ISO 37301 sammenlignet med ISO 19600 er at man kan bli sertifisert etter den nye standarden. Det blir spennende å se om dette får noen betydning på anerkjennelse og implementering av standarden.
Et godt complianceprogram bør sikre at man tar læring ved hendelser, at programmet oppdateres dersom endringer i omgivelsene tilsier behov for dette (eksempelvis ved inntreden i nye markeder eller ved innføring av nye forretningsmodeller). Tilsvarende må complianceprogrammet endres dersom forventningene til compliance/regeletterlevelse endres. Dette kan være nye eller endrede lover og regler, ny veiledning eller andre endrede forventninger fra «interessenter».
En enorm oppmerksomhet mot FNs bærekraftsmål, klassifiseringsreglene i EUs handlingsplan for bærekraftig finans og en generell økt digitalisering er eksempler på forhold som gjør at mange bør stille seg spørsmål ved om complianceprogrammet er tilstrekkelig oppdatert.
I juni 2020 kom amerikanske justismyndigheter med en oppdatert veiledning «Evaluation of Corporate Compliance Programs». Vi vil hevde at denne veiledningen på mange måter setter lista enda høyere enn før.
I mars 2017 ba Stortinget regjeringen fremme forslag om lovendringer med sikte på en tydeligere og mer effektiv korrupsjonslovgivning. Justisdepartementet har startet en utredning av om reglene for foretaksstraff og korrupsjon bør revideres. I mandatet for utredningen fremkommer det blant annet at betydningen av foretakets forebyggende tiltak skal utredes, og konkret skal det vurderes om forebyggende tiltak kan innføres som en særskilt straffefrihetsgrunn. Når det gjelder korrupsjon skal det i tillegg utredes et mulig påbud om å forebygge korrupsjon, om myndighetene bør publisere retningslinjer for antikorrupsjonsprogrammer og mulige regulatoriske krav til slike programmer. Det er forventet at utredningen leveres til departementet i mai 2021 (Kilde: Dagens Næringsliv 26. april 2021).
I det følgende redegjør vi for hva vi mener er ekstra viktig å tenke på når du skal vurdere om complianceprogrammet ditt holder tritt med utviklingen.
Dagens forventning
Vi går ikke her inn på verken totaliteten av et complianceprogram eller alle de enkelte bestanddeler et complianceprogram bør inneholde. Vi tar her kun for oss ni punkter der vi mener det – de siste årene – har skjedd en utvikling og hvor forventningene knyttet til temaene er betydelig annerledes enn tidligere.
- Styrets rolle: Hvilken faktisk dialog foregår mellom virksomhetens ansvarlige for compliance og hvilken ekspertise på compliance og relevante risikoforhold besitter styret som kollegium. Styret må ha kompetanse til å reelt utøve sitt kontroll- og tilsynsansvar overfor virksomheten hva gjelder compliance- og risikorelaterte forhold. At styret reelt utøver sitt kontroll- og tilsynsansvar, bør dokumenteres.
- Tredjepartsrisiko: Taksonomien og forslag om ny lovgivning om ansvarlighet i leverandørkjeden er noen eksempler som påvirker krav og forventninger til håndtering av tredjepartsrisiko. Både aktsomhetsvurderinger i forkant av at nye forretningsmessige relasjoner inngås er blitt enda viktigere, men ikke minst også at man – i alle fall der hvor det er størst risiko – også har en form for løpende kontroll (monitorering) av ens tredjeparter.
- Systemstøtte compliance: For større virksomheter med krevende risikobilde er det en større forventning enn tidligere til god systemstøtte for å sikre et levende complianceprogram og for å sikre at rutiner og kontroller blir etterlevd. Det må også sikres tilstrekkelig sporbarhet knyttet til de aktiviteter som gjennomføres, eksempelvis sporbarhet knyttet til at opplæring er gjennomført. Ivaretagelse av personvern er også et moment som trekker i retning av at systemstøtte for compliancearbeidet er viktigere enn før.
- Fusjoner og oppkjøp: Dersom virksomheten gjennomfører fusjoner, oppkjøp eller lignende må man sørge for at compliance i betydelig grad er involvert tidlig i prosessen, underveis ifm. due diligence mv. og ikke minst raskt i bakkant av at en transaksjon er gjennomført. Compliance bør være en viktig del av den typiske «100-dagers planen» som skal sikre synergier og andre effekter.
- Varslingsordningen: Det er ikke lenger godt nok med en e-postadresse eller en lenke til et enkelt web-skjema på intranettet. En virksomhet av litt størrelse må ha en varslingsordning hvor man kan kommunisere anonymt med varsler, man må ha systemstøtte for god oppfølging av varsler og man må være helt trygg på at den tilfredsstiller relevante sikkerhetskrav. Du må også vite at den faktisk fungerer? Er den testet? Har et varsel vært inkludert – eller kanskje til og med vært utgangspunktet for en kriseøvelse hos virksomheten?
- Datadrevet compliance: De siste årene har tilgang til data blitt betydelig bedre. Mange virksomheter har også en helt annen kompetanse på håndtering av store datamengder enn før, og mange har rekruttert «data scientists» e.l. I tillegg finnes det verktøy som reduserer barrierer for å ta i bruk slike løsninger, både hva gjelder kompetanse og prisnivå. Det er nå en forventning til at det ikke bare er marked og forretningsutvikling som tar i bruk «data analytics»; også compliance må gjøre dette.
- Analyse av rotårsaker og konsekvenser: Ved hendelser må rotårsaker identifiseres. Deretter må tydelige tiltak iverksettes, og dette må dokumenteres (også i saker som gjelder ledelsen). Likebehandling er et sentralt begrep og brudd på retningslinjer mv. må få faktiske konsekvenser (økonomiske eller andre) og det er viktig at både ledere og ansatte blir ansvarliggjort ved «for dårlig arbeid».
- Dokumentasjon: Formålet med complianceprogrammet må dokumenteres, herunder hva programmet består av, sammenhengen mellom risiko, forventninger og tiltak, og ikke minst hvordan complianceprogrammet er tilpasset virksomhetens størrelse, aktiviteter og øvrige særtrekk.
- Fungerer complianceprogrammet faktisk: Til slutt må du faktisk vite at complianceprogrammet fungerer, og dette må du på ulike måter ha dokumentert.
Oppsummering
Kravene har økt! Holder complianceprogrammet ditt tritt med utviklingen? Ønsker du å utforske dette spørsmålet ytterligere anbefaler vi deg at du tar kontakt for en nærmere diskusjon av temaene ovenfor og hvordan vi eventuelt kan bistå i arbeidet med å være sikker på at complianceprogrammet ditt er godt nok.
Lenker til veiledninger, retningslinjer mv.:
IIA Norge sin complianceveileder:
https://iia.no/wp-content/uploads/2020/05/IIA-Norge-veileder-compliance_2020final.pdf
Transparency Norge sin publikasjon «Beskytt din virksomhet – oppdatert håndbok for næringslivet»: http://transparency.no/wp-content/uploads/TI_beskyttdinvirksomhet_2017_web-005.pdf
Veiledning fra britiske justismyndigheter: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/832011/bribery-act-2010-guidance.pdf
Veiledning fra amerikanske justismyndigheter: https://www.sec.gov/spotlight/fcpa/fcpa-resource-guide.pdf
OECD:
https://www.oecd.org/corruption/Anti-CorruptionEthicsComplianceHandbook.pdf
https://nettsteder.regjeringen.no/ansvarlignaringsliv2/files/2013/11/OECD_retningslinjer_web.pdf