Nyhet / 12.09.2017

Styrets ansvar for compliance

Skrevet av Cecilie Wetlesen Borge

Det er styret som har det overordnede ansvaret for at selskapet forebygger overtredelser av relevant regelverk. Forventninger fra kunder, investorer, myndigheter og samfunnet generelt innebærer stadig høyere krav til hvor konkret et styre må forstå selskapets system for risiko og virksomhetsstyring, og hvordan informasjon om dette deles med omverdenen.

Styrets og ledelsens ansvar for hensiktsmessig organisering av internkontrollen følger av aksjelovgivningen §§ 6-12 – 6-14 og er utdypet i NUES punkt 10:

Styret skal påse at selskapet har god intern kontroll og hensiktsmessige systemer for systemene bør også omfatte selskapets verdigrunnlag og retningslinjer for etikk og samfunnsansvar.

Styret bør årlig foreta en gjennomgang av selskapets viktigste risikoområder og den interne kontroll. – NUES punkt 10

Compliancearbeid er et samlebegrep for å analysere risikoer for regelbrudd, iverksette tiltak, og å følge opp regelbrudd. Vi vil i denne artikkelen ta for oss noen hovedpunkter i styrets ansvar for selskapets compliancesystem.

Nivået og innholdet i compliancearbeidet vil avhenge av type virksomhet, risiko og regulatoriske forhold. Godt compliancearbeid behøver ikke være omfattende så lenge det er målrettet.

Dagens regnskapslovgivning og NUES pålegger i praksis selskap å dokumentere og rapportere sine compliancetiltak. Gjennom rapportering viser styret at det har nødvendig underlag for sin tilsynsoppgave etter aksjelovgivningen.

Compliance styrker bedriftens omdømme, og gir stolte medarbeidere og god tillit i markedet.

Relevante rettsområder for compliance er blant annet anti-korrupsjon, konkurranserett, personvern, hvitvasking, helse, miljø og sikkerhet, og eksportkontroll. I tillegg kommer arbeidsmiljølovens krav til varslingssystem, som vi ikke går inn på i denne artikkelen.

1920x640_0000_Compliance

Ledelsesforankring – «tonen fra toppen»

Selskapets toppledelse skal beslutte organisering og forventninger til overordnede linje- og stabsfunksjoner. Tydelighet om disse forholdene er viktig for «tonen fra toppen».

Det faktiske compliancenivået i et selskap er summen av enkeltmenneskers lovlige og etisk forsvarlige valg. Relevant her er ikke bare ansatte, men også innleid arbeidskraft, leverandører, agenter, konsulenter m.fl. («medarbeidere»).

Normalt fremgår det av selskapets internregelverk (Code of Conduct o.l.) at det også gjelder for selskapets styremedlemmer.

Formålet med systematisk compliancearbeid er å øke sannsynligheten for at relevante krav følges. I tillegg til å forebygge strafferettslige og andre konsekvenser ved lovbrudd, reduseres også risikoen for krevende opprydninger. Et godt rammeverk bidrar til at ledere og medarbeidere vet hva som forventes av dem i konkrete situasjoner der det kan skje brudd på relevant regelverk.

En del selskaper har etablert egen funksjon som compliance officer. Ledelsen bør være tydelige på at compliance officer har systemansvar for compliance. Ved siden av dette ansvaret ligger det operasjonelle ansvaret for faktisk etterlevelse. Dette ansvaret ligger i linjen, med konsernsjef som øverste ansvarlig.

Det samlede ansvaret ender hos styret – både ved at styret må ta stilling til compliancesystemet, og ved at styret må involveres dersom det er skjedd alvorlige regelbrudd.

Det er en god investering å etablere en eskaleringsprosedyre for hvilke saker som skal på styrets bord.

Styret har ansvar for å treffe overordnet beslutning om compliancesystemets hovedelementer og struktur og ta stilling til ambisjonsnivået for complianceprogrammet.

For compliance officer er det viktig å få mandat, budsjett og en tydelig stillingsinstruks. Fra ledelsens side bør det stilles krav til kompetanseprofil for compliance officer. I store virksomheter bør det også stilles krav til kompetanseprofil for eventuelle medarbeidere som utgjør compliancenettverket i virksomheten.

1920x640_møte

Risikosystemer

Compliancearbeidet avhenger blant annet av selskapets krav og prioriteringer. «Slik har vi alltid gjort det» eller «When in Rome, do as the Romans» blir feil premisser for godt arbeid.

Gode risikoprosesser på alle områder bidrar å målrette arbeidet mot uønskede hendelser. Risikoanalyser bør utføres årlig, samt ved større investeringer, prosjekter og strategibeslutninger. Compliance og samfunnsansvar kan i slike prosesser gjerne sees i sammenheng, og vurderes som del av andre operasjonelle risikoer.

Gjennom god risikoanalyse får selskapet faktabasert grunnlag for å prioritere og håndtere sine trusler og sårbarheter. Betydningen av at risikokontroll inkluderer compliance øker med samfunnets krav til selskapers ryddighet og dokumentasjon.

Risikokontroll bidrar også til at prosesser kan gjennomføres med færre komplikasjoner og at medarbeidere og forretningspartnere kan være trygge på de beslutninger som tas. Det gir tillit både internt og eksternt, og bidrar dermed til å styrke bedriftens omdømme. På denne måten er compliance som alle andre risikoområder.

Selskapet bør sikre at ledere og medarbeidere i de ulike delene av virksomheten har tilstrekkelig risikoforståelse for sitt ansvarsområde.

For styret er det viktig å ha trygghet for at risikoprosessene er tilpasset selskapets behov. Arbeidet må dekke relevante områder, men ikke blåses ut av proporsjoner. Styret bør med andre ord ha god innsikt i når og hvordan selskapet gjennomfører sine risikovurderinger.

Mange er usikre på hvordan man best kartlegger risiko for regelbrudd (compliancerisiko). Det er viktig å involvere medarbeidere fra ulike nivåer og roller: for eksempel kan en salgsmedarbeider vurdere sannsynligheten for prissamarbeid, men konsekvensene av et slikt samarbeid bør helst vurderes av en medarbeider med juridisk kompetanse.

God tilrettelegging av interne prosesser er derfor en nyttig investering for å sikre at relevante situasjoner og erfaringer blir en del av risikovurderingsgrunnlaget.

1920x640_Dokumentarbeid

Konsekvenskultur

Konsekvenskultur har lite med represalier å gjøre, men handler om å bevare det som fungerer godt og forbedre eller korrigere det som fungerer mindre godt. «Konsekvenser» kan i denne sammenheng bestå i å styrke systemer, prosesser og andre elementer av et rammeverk.

Overfor enkeltmedarbeidere kan selskapets incentivsystemer bidra til god kultur dersom de belønner ønsket adferd og demotiverer uønsket adferd – for eksempel gjennom bonus eller opprykk. Ledere på alle nivåer bør måles for sin innsats i compliancearbeidet – tilpasset risikoen den enkelte ledelsesfunksjonen representerer.

Rapporteringen fra daglig leder til styret bør inkludere en status for gjennomførte tiltak, en plan for fremtidige tiltak, og en oversikt over ad hoc konsekvenser av individuell- eller organisatorisk karakter.

Kun i unntakstilfelle bør styret involveres i løpende saker – normalt er det ledelsen som har ansvaret for å håndtere det løpende. En god rapporteringsstruktur gir styret god forutsigbarhet og styringsinformasjon, og reduserer overskuddsinformasjon.

Selskapets eskaleringsprosedyre kan gi tydelighet om hvilke saker som er av en slik karakter at de skal forelegges styret mens de pågår.

Compliancerapportering – også et spørsmål om uavhengighet

Styret har det øverste ansvaret for selskapets organisering og internkontroll, og bør ta stilling til hvilke krav som skal stilles til uavhengighet i internkontrollfunksjoner. Skal det for eksempel være en «stiplet linje» fra compliancefunksjonen til styreleder?

For compliancefunksjonens rapportering bør styret være kjent med hvem som eventuelt har deltatt i utformingen og godkjent den. Slike faktorer kan ha mye å si for hvordan styret best kan tolke compliancerapporteringen.

1920x640_Person_utsikt

Oppsummering

Vi i Haavind mener at norske styrer kommer til å forholde seg stadig mer aktivt til compliance som en forutsetning for selskapets robusthet, strategiske måloppnåelse og omdømme. Vi har derfor samlet et knippe medarbeidere med bred erfaring innen spørsmålene som er behandlet i artikkelen her.

Vår ekspertise dekker både relevante rettsområder – antikorrupsjon, konkurranserett, personvern, HMS, hvitvasking, eksportkontroll, og arbeidsrett med HR og varsling – samt risikoprosesser og virksomhetsstyring/corporate governance.

I dialog med selskapets ledelse eller styre identifiserer vi hvilke områder selskapet bør styrke for å møte samfunnets krav til ryddighet, dokumentasjon og forsvarlig produksjon, salg og utvikling. Vi anbefaler å ta kontakt med en av våre medarbeidere for en uforpliktende prat.