Styring af overholdelse: Grundlæggende og tips til at komme i gang
Alt, hvad du har brug for at vide om compliance management, risikovurderinger og tips til implementering
Overholdelse er en nødvendig del af god virksomhedsledelse. Men en compliance officer er kun begyndelsen af historien. Compliance Management gør det muligt at integrere compliance i hele din organisation.
Hvad er compliance management?
Compliance Management er en samlet betegnelse for alle de værktøjer og processer, som en virksomhed implementerer for at sikre overholdelse af reglerne. Disse regler omfatter både eksterne lovgivningsmæssige og juridiske krav samt interne politikker og vedtægter. Værktøjer og processer til compliance management har til formål at opdage overtrædelser af compliance og også at beskytte en virksomhed mod disse overtrædelser, som kan koste en virksomhed betydelig skade på omdømme og høje økonomiske sanktioner.
Virksomheder implementerer ofte compliance management-platforme for at automatisere og strømline mange compliance-processer, f.eks. digitale whistleblowing-systemer, så medarbejdere og stakeholders kan rapportere uregelmæssigheder, og godkendelsessystemer til at administrere godkendelser af gaver og gæstfrihed.
Hvor stammer compliance fra, og hvorfor er det blevet vigtigere for virksomheder?
Frøene til compliance blev sået i 1970’erne og 1980’erne, da skandaler i USA (Watergate, Lockheed) viste, at virksomheder i vid udstrækning bestak politikere og embedsmænd. Disse begivenheder førte til, at USA i 1977 vedtog Foreign Corrupt Practices Act (FCPA), som for første gang forbød bestikkelse af udenlandske embedsmænd fra virksomheder. Flere virksomhedsskandaler og sammenbrud som f.eks. Enron-sagen i 2001 har øget kravet om strengere overholdelse og regulering, især for børsnoterede virksomheder. Den vigtigste lovændring i denne sammenhæng var Sarbanes-Oxley Act 2002, som definerede et betydeligt strammere personligt ansvar for virksomheders øverste ledelse for nøjagtigheden af de rapporterede regnskaber. Siden da har øget regulering i både USA og Europa (UK Bribery Act, SAPIN II i Frankrig, EU’s Whistleblowing-direktiv) fået topledelserne til at lægge større vægt på overholdelse og etisk adfærd, styrke deres compliance-afdelinger og indføre omfattende compliance-styringssystemer.
Hvorfor er risikovurdering en vigtig del af compliance management?
Fælles rammer for overholdelse (ISO 19600, IDW PS 980) og de relevante internationale bestemmelser (f.eks. DoJ-retningslinjerne og den britiske Bribery Act) angiver alle, at en omfattende risikovurdering af overholdelse bør danne grundlaget for ethvert program for overholdelse. En risikovurdering sikrer, at virksomhederne fastsætter de korrekte prioriteter og gennemfører effektive foranstaltninger for at imødegå relevante risici for overholdelse. Risikovurderingen af overholdelse af reglerne bør ideelt set foretages, før compliance-afdelingen iværksætter specifikke compliance-foranstaltninger, så ressourcerne kan tildeles korrekt fra starten.
Hvis der sker en overtrædelse af compliance-reglerne, tjener risikovurderingen også som et vigtigt bevis over for retshåndhævende myndigheder og revisorer for, at virksomheden har overvejet risiciene grundigt og har truffet passende modforanstaltninger.
Hvordan kan jeg implementere compliance management i min virksomhed?
Det er en generel regel, at compliance management ikke vil lykkes, medmindre der er en generel integritetskultur i virksomheden. Dette er grundlaget for ethvert vellykket program for compliance management. Uden dette er det sandsynligt, at organisationer vil betragte deres etik- og complianceprogrammer som en række afkrydsningsaktiviteter eller endnu værre, som en hindring for at nå deres forretningsmål.
Seks tips til at komme i gang
Hvis din virksomhed er ny inden for compliance management, kan de følgende seks tips hjælpe dig i gang:
- Sørg for, at alle er med – fra ledelsen til fageksperter – alle relevante stakeholders bør forstå, hvorfor et compliance-program er vigtigt, og hvad det har til formål at opnå. Dette sætter tonen fra toppen.
- Udfør en risikovurdering – Dette fokuserer bestyrelsen og den øverste ledelse på de risici, der er mest betydningsfulde i organisationen, og danner grundlag for at fastlægge de nødvendige foranstaltninger til at undgå, mindske eller afhjælpe disse risici.
- Gennemfør en politikrevision – for at gøre status over, hvad der allerede findes. Dette vil afsløre eventuelle huller i dit eksisterende politikbibliotek og eventuelle nødvendige opdateringer, der skal foretages.
- Giv uddannelse – det er ikke nok blot at opdatere politikkerne. Medarbejderne skal både forstå politikkerne og forstå, hvordan de gælder for deres daglige arbejde. Det er her, at uddannelse kommer ind i billedet.
- Etablér en overvågnings – og revisionsproces – dette vil fremtidssikre dit program og sikre, at dit program forbliver relevant.
- Indbyg ansvarlighed – der skal være procedurer på plads, når en medarbejder ikke overholder reglerne. Disse bør omfatte klare disciplinære retningslinjer og protokoller, som håndhæves aktivt og konsekvent.
Hvad laver en compliance manager?
Da compliance stadig er et relativt nyt emne i virksomheder, er der mange misforståelser om, hvad en compliance manager laver.
Compliance managers leverer en intern service, der effektivt støtter forretningsområderne i deres pligt til at overholde relevante love og regler og interne procedurer. Det gør de ved at følge udviklingen i lovgivningen, som kan påvirke virksomhedens funktion, regelmæssigt vedligeholde politikker og procedurer, som hjælper virksomheden med at holde sig inden for en branches lovgivningsmæssige rammer, og ved at organisere regelmæssige uddannelsesmøder for medarbejderne for at formidle eventuelle vigtige ændringer i lovgivningen. De fører tilsyn med virksomhedens program til forvaltning af overholdelse af lovgivningen og identificerer eventuelle skjulte risici, som virksomheden kan stå over for. Det er compliance managerens pligt at sikre løbende overvågning og gennemgang af complianceprocedurer for at hjælpe med at identificere mulige områder, hvor der kan foretages forbedringer.
Corona-krisen har haft stor betydning for compliance-ansvarliges arbejde. Ledernes mulighed for at formidle de seneste regler og opdateringer til medarbejderne er blevet vanskeliggjort af aflysningen af personlige uddannelsesarrangementer og af, at flere medarbejdere nu arbejder hjemmefra. På grund af disse forhold har Corona også tvunget compliance managers til at se i øjnene, at deres processer – som ofte stadig styres på papir og regneark – er forældede. Heldigvis findes der værktøjer, som automatiserer processer og hjælper compliance managers med at udføre deres daglige arbejde lettere og mere effektivt.
Hvad kan overtrædelser af reglerne koste virksomhederne?
Ud over store skader på omdømme har der i de seneste år været adskillige sager rundt om i verden, som viser, hvor store sanktioner virksomhederne risikerer, hvis de ikke overholder deres forpligtelser. Tre eksempler:
Cum-Ex-skandalen
Martin Shields og Nicholas Diable, to britiske investeringsbankfolk, blev stillet for retten i Tyskland i 2020 for at have hjulpet med at strukturere en massiv skatteunddragelsesordning, kendt som Cum-Ex-handel. Ved denne ordning blev der stjålet op til 55 mia. euro i europæiske offentlige midler. Cum-Ex-transaktioner udnyttede en nu opgivet metode til beskatning af udbytte, som gjorde det muligt at få flere tilbagebetalinger gennem en kombination af short selling og andre transaktioner. Begge investeringsbankfolk, der blev betragtet som en skelsættende sag, blev idømt betingede fængselsstraffe, og Martin Shields fik en bøde på 14 mio. Hamburg-banken M.M. Warburg, som også er involveret i sagen, blev pålagt at tilbagebetale næsten 177 mio. Kriminelle anklagere i Köln fortsætter deres efterforskning af mere end 50 andre Cum-Ex-handler med mere end 400 mistænkte.
VW-Dieselgate
VW gjorde et stort fremstød for at sælge dieselbiler i USA, støttet af en enorm markedsføringskampagne, der pralede med bilernes lave emissioner. I 2015 fandt Miljøstyrelsen (EPA), at mange VW-biler, der blev solgt i USA, havde en “manipulationsanordning” – eller software – i dieselmotorer, der kunne registrere, når de blev testet, og ændre ydelsen i overensstemmelse hermed for at forbedre resultaterne. Den tyske bilgigant har siden indrømmet, at den har snydt med emissionstests i USA. At blive opdaget i USA satte gang i en kædereaktion, der har kostet bilproducenten en formue på verdensplan. DoJ har anklaget seks ledende medarbejdere for sammensværgelse med henblik på at bedrage USA og overtræde Clean Air Act. Dieselgate-skandalen anslås at have kostet Volkswagen mere end 30 mia. EUR i bøder, straffe og tilbagekøb på verdensplan.
Siemens bestikkelsesskandale
I 2006 chokerede en kolossal korruptionsskandale, der involverede Siemens, en af verdens største elektrovirksomheder, verden over. Skandalens omfang betegner den som den største korruptionssag i sin tid. I årevis havde virksomheden foregivet at drive forretning i overensstemmelse med de højeste etiske og juridiske standarder, men siden i hvert fald 1990’erne havde Siemens organiseret et globalt system med bestikkelse for 1,4 mia. dollars til regeringsembedsmænd for at gøre det muligt for virksomheden at vinde udbud over hele verden. USA og Tyskland indledte undersøgelser og sikrede i sidste ende en historisk sanktion på 1,6 mia.
Key principles of establishing an effective ABC programme