job Kvalitet og metode

Kan din virksomhet vise at complianceprogrammet faktisk fungerer?

"Key takeaways" fra det amerikanske justisdepartementet sin veileder om evaluering av Corporate Compliance-programmer.

Det amerikanske justisdepartementets (DOJ) sin veileder om evalueringen av Corporate Compliance-programmer ble opprinnelig publisert i april 2019 og oppdatert i juni 2020 – “Evaluation of Corporate Compliance Programs”. Dette er den primære veiledningen for DOJ sine påtalemyndigheter når de vurderer ulike typer for sanksjoner i en strafferettslig kontekst, og er en ledende veiledning om hvordan deres påtalemyndigheter vurderer utformingen, implementeringen og effektiviteten til selskapenes complianceprogrammer.

Det er likevel noen allmenne læringspunkter i veilederen for andre virksomheter som planlegger å etablere et formelt complianceprogram eller som er i prosess med å evaluere sitt eget program på området. Det sentrale prinsippet i veilederen er at risikobasert tilnærming må legges til grunn i all compliance arbeidet.

Oppdateringene fra 2020 er ikke vesentlig forskjellige fra det opprinnelige dokumentet fra april 2019, men det signaliseres likevel at påtalemyndigheten vil se nærmere på følgende elementer i selskapenes complianceprogrammer:

1) Det er avsatt tilstrekkelig ressurser til arbeidet med compliance

2) Compliancearbeidet inngår i formaliserte prosesser hvor det kontinuerlig jobbes for å forbedre effektiviteten av arbeidet med compliance, samt at bruken av digitale verktøy og dataanalysemetoder inkluderes i arbeidet på en effektiv måte.

Complianceprogram

«Any well-designed compliance program entails policies and procedures that give both content and effect to ethical norms and that address and aim to reduce risks identified by the company as part of its risk assessment process.”

Definisjon på hva et complianceprogram er i DOJs veileder

Det er mange definisjoner på hva et complianceprogram er og hva det innbefatter. Mange sektorer/bransjer har egne veiledere eller regelverksspesifikke veiledere for compliancearbeidet. Eksempelvis vil programmet kunne omhandle alt fra etterlevelse av etiske retningslinjer, GDPR, hvitvasking, anti-korrupsjon, behandling av varslingssaker til avdekking av eksterne misligheter. IIA Norge har også utarbeidet en veileder som beskriver temaet med bakgrunn i blant annet DOJ sin veileder. Mer om dette kan du lese om i IIA Norge sin Veileder for compliance funksjonen.

Hvor skal så compliancearbeidet begynne?

DOJ stiller tre fundamentale spørsmål som igjen brytes ned i underliggende spørsmål. Dette bør alle virksomheter stille seg selv og besvare:

  1. Er selskapets compliance-program godt nok utformet?
    Veilederen legger opp til at complianceprogrammet kan måles og evalueres. Hensikten er ikke å fastsette en diagnose, men stille virksomheter til ansvar for egne handlinger og «ris bak speilet» med sanksjoner og straff som følge av compliancebrudd. Således er svaret situasjonsbetinget og det er ingen fasitsvar i veiledningen. Løsningen handler om å sette følgende i system på complianceområdet:
    – risikovurderinger
    – policyer og prosedyrer
    – opplæring og kommunikasjon
    – rapportering
    – tredjepartsevalueringer
    – oppkjøp/integrasjoner
  2. Brukes programmet på en troverdig måte?
    Sagt med andre ord; er det tilstrekkelig handling bak ordene med hensyn til utførelse av compliancearbeidet, innehar compliancefunksjonen de nødvendige ressurser og er disse bemyndiget til å fungere effektivt i virksomhetsstyringen.
  3. Fungerer selskapets compliance-program i praksis?
    Kan for eksempel virksomheten vise at compliancevurderinger har spilt en vesentlig rolle sett opp mot andre forretningsmessige og operasjonelle vurderinger? Det handler om kontinuerlig forbedring av internkontrollsystemer, periodisk testing og compliance-gjennomganger, granskninger/faktaundersøkelser, analyse og respons for å håndtere ulike brudd og risikoer.

Mange elementer i DOJ-veiledningen gjenspeiler COSO / ACFE sin veileder vurdering av mislighetsrisikoer. Det anbefales å lese denne veilederen for å operasjonalisere kravene. DOJ-dokumentet er imidlertid også en håndbok for påtalemyndighetene når de bestemmer seg for om de skal reise tiltale mot selskaper for brudd på relevante lover. Veiledningen hjelper også myndighetene med å utvikle sanksjoner og anbefalinger for å sikre samsvar med regelverket og sikre god praksis.

«Key takeaways» fra veilederen

Oppdateringene i veilederen gir oss innsikt i vurderingsfaktorer som DOJ sannsynligvis vil legge til grunn når de undersøker og vurderer effektiviteten til organisasjonens complianceprogrammer ut fra sin kontekst.

Utledet som generelle kriterier (ut fra de fundamentale spørsmålene som er stilt og underliggende forhold) vil det primære være gjennomføringen av risikovurderinger og oppfølging av tiltak. DOJ beskriver videre en del sentrale forhold som alle organisasjoner bør kunne dra nytte ut av. Det er blant annet sammenhengen mellom gjeldende styrende dokumenter og mer operasjonelle rutiner og tilhørende eierskap til disse. Dernest at kontinuerlig og skreddersydd complianceopplæring, samt tydelig kommunikasjon om hvilke konsekvenser brudd på selskapets retningslinjer vil kunne medføre, har avgjørende betydning for å kunne ha tillit til complianceprogrammet. Videre er det blant annet stilt krav til rapportering på ulike områder og gjennomføring av grundigere undersøkelser i særskilte (kan defineres som granskning) tilfeller for å avdekke fakta.

Compliancevurderinger i tredjepartsevalueringer er et eget område i veilederen. Det samme er compliancevurderinger i due diligence prosesser i forbindelse med oppkjøp/integrasjoner.

Veilederen beskriver også hvilke forpliktelser som påhviler ledelsen (den klassiske «tonen på toppen» eller «walk the talk») i gjennomføringen av complianceprogrammet, samt hvilke ressurser og kompetanse compliancefunksjonen skal inneha og hvilke behandlinger og disiplinære reaksjonsformer selskapet må vurdere. Veilederen fremhever betydningen av kontinuerlig forbedring i compliancearbeidet og -testing for å underbygge faktiske kontroller (se figuren under). Eksempelvis vil programmet kunne omhandle alt fra etterlevelse av etiske retningslinjer, GDPR, hvitvasking, anti-korrupsjon, behandling av varslingssaker til avdekking av eksterne misligheter.

Figur: Den klassiske PDAC-sirkelen (Deming Circle) gjelder også compliance arbeidet.

Compliancearbeidet er en reise

DOJ sitt veiledningsdokument gir et innblikk i hvordan DOJ kan vurdere og evaluere organisasjonens complianceprogram. DOJ-veiledningen for 2020 understreker at organisasjoner ikke kan bruke en standard tilnærming («one size fits all») når de utformer sine complianceprogrammer, men må tilpasse programmet til sin egen virksomhet.

Veiledningen ber også påtalemyndighetene om å gjøre en «rimelig, individualisert avgjørelse i hvert tilfelle som tar hensyn til ulike faktorer, inkludert, men ikke begrenset til, selskapets størrelse, bransje, geografiske fotavtrykk, reguleringslandskap og andre faktorer, både interne og eksterne for selskapets virksomhet … som kan påvirke dets samsvarsprogram.”

Avslutningsvis ønsker jeg å vise til selskapet NAVEX Global som i sine presentasjoner av veilederen påpeker at compliance arbeidet anno 2020 må være validert med data («prove it with data»), mens det i 2019 handlet om å etablere en compliancekultur.

Jeg har tatt meg noen faglige friheter for å supplere DOJ sin veileder og tolket den på min måte. Jeg anbefaler at leseren av denne artikkelen også leser veilederen til DOJ, slik at dere på et selvstendig grunnlag kan danne dere et inntrykk av innhold og retning på complianceprogrammet slik DOJ tilnærmer seg dette, og deretter tar stilling til complianceprogrammet i egen virksomhet.

Les også: World Bank follows DOJ by evaluating corporate compliance programs