Megatrend eller ny samfunnsnorm?

Compliance er en megatrend og en ny samfunnsnorm. En allmenn forventning, som ingen lenger kan ta lett på, skriver Malin Tønseth.

KRAV: I den seneste eierskapsmeldingen stilles det forventninger til en effektiv risikostyring i alle virksomheter hvor staten har et direkte eierskap. Her da statsminister Erna Solberg og olje- og energiminister Sylvi Listhaug tidligere denne måneden var tilstede for å markere åpningen av Johan Sverdrup. Foto: NTBscanpix

I kjølvannet av en rekke høyprofilerte mediesaker om korrupsjon, hvitvasking og datamisbruk har aldri forventningene til compliance vært større. 

De fleste vil mene at en ledelse som kjenner virksomheten fra innsiden bør ha en noenlunde grei oversikt over risikobildet. Dessverre er ikke dette selvsagt

«To-do listen» når man jobber med compliance kan virke lang og omfattende, og med mindre man har ubegrensede ressurser er det nødvendig å innrette seg deretter og gå systematisk til verks. Dette betyr blant annet at man må jobbe med å identifisere de største risikoene og prioritere disse først. For mange kan dette virke banalt. De fleste vil mene at en ledelse som kjenner virksomheten fra innsiden bør ha en noenlunde grei oversikt over risikobildet. Dessverre er ikke dette selvsagt.

Forventningene til compliance går videre enn at virksomhetens forretningsnorm og kravene til compliance er nedfelt i overordnede styringsdokumenter. Det ligger en klar forventning fra både myndigheter, investorer, kunder mv. til at virksomheter av en viss størrelse og seriøsitet har et velfungerende compliance system. Og dette må kunne dokumenteres. Forankring av compliance i virksomhetens strategi er sentralt og ledelsen må sikre etterlevelse i praksis.

Statens seneste eierskapsmelding [Meld. St. 8 (2019-2020)] fremhever betydningen av at «…valg av risikonivå er en integrert del av selskapets strategi». Dette er et klart signal om at det stilles forventninger til en effektiv risikostyring i alle virksomheter hvor staten har et direkte eierskap. Men sitatet er også uttrykk for en allmenn compliance forventning som strekker seg ut over dette.

En del feil rådgivning ble nok gitt i GDPR implementeringens hete og en rekke krefter kunne ha vært unngått eller brukt bedre

Så hva betyr Compliance i praksis?

  • Først og fremst krever et solid compliance-arbeid at det gjøres en kartlegging av sentrale risikofaktorer med utgangspunkt i både gjeldende regelverk, krav, normer og samfunnets forventninger ellers.
  • Videre må man jobbe med å forstå det strategiske landskapet. Hvilken bransje man opererer i, hvilket geografisk område man opptrer i og eventuelt også politiske og andre strategiske faktorer har gjerne innvirkning på det fulle risikobildet. Ikke alle regler treffer likt, og ikke alle krav må etterleves likt.
  • For å trekke frem GDPR som eksempel; Mange opplevde nok at en del compliance arbeid ble gjort i hui og hast. Dette ble for mange både tidkrevende og kostbart. Likevel ble ikke nødvendigvis de største avvikene lukket og øvelsen førte ikke nødvendigvis til et bedre personvern.

En del feil rådgivning ble nok gitt i GDPR implementeringens hete og en rekke krefter kunne ha vært unngått eller brukt bedre. Hva nytter det at man aktivt sender ut e-poster om virksomhetens personvernerklæring hvis informasjonen aldri blir lest eller forstått? Har den enkelte kunden, som kanskje bare ønsker en vare eller tjeneste, faktisk oppnådd et bedre personvern ved å samtykke til erklæringen?

Compliance gir bare mening hvis det har et reelt innhold som reduserer risikoen for regelverksbrudd og som hindrer uønskede situasjoner

Å jobbe med compliance krever en praktisk og strategisk tilnærming. Risikokartleggingen må faktisk avdekke de største svakhetene og ta utgangspunkt i virksomhetens modenhet og kompetansenivå.

Vi må bevege oss bort fra lettvinte løsninger som bare tilsynelatende fører til compliance, uten en dokumentert effekt. Compliance gir bare mening hvis det har et reelt innhold som reduserer risikoen for regelverksbrudd og som hindrer uønskede situasjoner.

Malin Tønseth. Foto: SVW

Det må derfor legges noen helt praktiske føringer innad i virksomheten, for eksempel i form av retningslinjer og sjekklister. Disse må ha en dokumentert effekt og må både forståes og etterleves av alle ansatte som sitter med ansvar for sentrale oppgaver. En helt sentral del av effektiv compliance er derfor også tydelig kommunikasjon til de ansatte og man bør ha et målrettet opplæringsprogram som er både relevant og forståelig for den enkelte.

Sist men ikke minst må man ha på plass gode kontroller som både fanger opp og lukker eventuelle avvik, samtidig som man sørger for løpende forbedring. Revisjoner er helt sentralt, men også målrettet testing er som regel nødvendig. Samtidig må det være noen gode og åpne varslingskanaler.

Compliance er heller ikke det motsatte av lønnsomhet. Hvis man jobber riktig med compliance er det god mulighet for både lønnsomme synergier og spennende forretningsstrategiske valg.

Malin Tønseth

Internadvokat i Hydros Group Compliance/partner i Simonsen Vogt Wiig (fra 1. feb. 2020)