job Etikk og kultur

Varsling – viktig del av bedriftens compliance program

Et velfungerende varslingssystem gir bedriften mulighet til å korrigere avvik og rette opp i uønskede forhold. Det bør være et viktig element i bedriftens compliance system - som har som hovedformål å forebygge brudd på lover og regler. Men hva skal til for å lykkes, og hvilke utfordringer kan man møte?

Formålet med et varslingssystem

Arbeidsmiljøloven setter rammene for hva som må ivaretas i varslingssystemet i paragrafene 2-4, 2-5 og 3-6. De to første paragrafene omhandler varsling om kritikkverdige forhold i bedriften og vern av den som varsler, mens paragraf 3-6 omhandler arbeidsgivers plikt til å legge til rette for varsling. Varsling skal forebygge både konflikter på arbeidsplassen og økonomisk og annen kriminalitet. Med utgangspunkt i lovgivningen, kan man si at varslingssystemet skal legge til rette for at ansatte kan varsle om
kritikkverdige forhold uten å oppleve å bli «straffet» for det. Videre at arbeidsgiver kan ta tak i avvik og uønskede forhold for å sette inn nødvendige tiltak; og ikke minst å komme tidsnok i inngrep for å unngå at forholdet det er varslet om utvikler seg til en konflikt som det kan bli vanskelig å løse.

Oppbygging av et varslingssystem

Et compliancesystem bør bygges opp på en systematisk måte, og det samme gjelder varslingssystemet som et av elementene i systemet. En måte å illustrere dette på vises nedenfor med kommentarer for de enkelte delene. Det finnes ikke en enkeltstående riktig måte å gjøre dette på; hver virksomhet må vurdere sin risikoprofil og ut i fra det bygge opp et system som passer for seg.

«Tone at the top»

Det er helt avgjørende at ledelsen på alle nivåer er helt klare og tydelige på at varsling er viktig for bedriften. Både for å kunne ta tak i situasjoner og gjøre korrektive tiltak i tide før eventuelt ytterligere skade skjer, og for at ingen form for gjengjeldelse overfor en varsler skal forekomme. I alle virksomheter vil det fra tid til annen oppstå konflikter, faglige eller personalrelaterte. Disse skal normalt løses i «linjen»; det vil si i den daglige drift så nær problemet som mulig. Varslingsaker vil normalt være saker som krever en mer omfattende behandling. Uansett type sak må ledelsen gå foran med et godt eksempel og vise at den tar ansvar og ved det skape tillit hos de ansatte. Det er viktig å vise med handling at varslingssystemet fungerer i praksis og ikke bare er et papirsystem.

Interne retningslinjer

Rutiner for hva man skal og/eller bør varsle om, hvordan man skal varsle, hvordan og av hvem et varsel skal behandles, rapporteringslinjer og beslutningsnivåer bør beskrives så klart og tydelig som mulig i interne retningslinjer. Det kan ofte være vanskelig å avgjøre om en bekymring faller innenfor begrepet «kritikkverdige forhold» og for å gi veiledning
til de ansatte vil eksempler være nyttige. Det er viktig at de ansatte tas med på råd ved utforming av retningslinjene for å skape eierskap og engasjement. Varsling fra en ansatt er en alvorlig og ansvarlig handling, og det er viktig at de ansatte er trygge på at de kan varsle uten å bli utsatt for represalier eller ubehageligheter.

I Norge er varsling regulert av arbeidsmiljølovens (AML) bestemmelser.
Det er viktig å sette seg inn i lovbestemmelser for andre land hvor man har virksomhet.

De interne rutinene bør være klare på om man legger de norske reglene til grunn for all virksomhet «world-wide», og eventuelle særbestemmelser og begrensninger man må ta hensyn til, f.eks begrensning i retten til anonym varsling i noen land.

Risikovurdering

Risikovurdering bør foregå på to nivåer. Først i forbindelse med risikovurdering av selve compliancesystemet;

  • Har bedriften et godt nok varslingssystem for å få inn og behandle relevante varsler?
  • Er det en god kultur i bedriften som understøtter varsling?

Videre må konkrete varsler underlegges en risikovurdering for å avgjøre hvordan de skal behandles. Varsler om svært alvorlige forhold kan kreve umiddelbare tiltak for å stoppe pågående ulovlig aktivitet, mens andre forhold kan være av en ikke tidskritisk karakter hvor relevante tiltak f.eks. kan være endring av rutiner.

Kommunikasjon

Informasjon om bedriftens varslingsrutiner kan, og bør, gis på mange måter. Naturlige media kan være bedriftens intranett og nettsider, informasjon i forbindelse med nyansettelser, bedriftsaviser mv. Informasjonen må gis på de ulike språk som bedriftens ansatte bruker. I selskapets årsrapport eller bærekraftrapport bør det også gis informasjon om varslingsaker.

Intern opplæring

Informasjon om varslingssystemet bør inngå i obligatoriske introduksjonskurs og etikkopplæring for alle ansatte, samt kurs for ledere på ulike nivåer og for tillitsvalgte. Temaet må gjøres lett forståelig og tilgjengelig, og gjentas ofte!

Dokumentasjon

Selve varselet kan komme i nær sagt alle former, og det er ikke krav om skriftlighet i AML. De interne rutinene bør beskrive hvordan saksbehandling skal dokumenteres, hvem som skal ha tilgang til saksdokumenter og hvordan det skal arkiveres. Det bør føres nøyaktige logger for all kontakt med varsler, og all dokumentasjon må oppbevares på en sikker måte og oppfylle krav til personvern.

Undersøkelser

Ved mottak av et varsel må det avgjøres hvem som skal ha ansvar for undersøkelser og hvordan man skal undersøke påstanden. Varselet kan gjelde alvorlige forhold, samtidig som det gir lite konkret informasjon, noe som kan gjøre det vanskelig å vite hvordan man skal angripe en sak. Det er viktig å tenke gjennom dette i forkant, og utarbeide prinsipielle rutiner for hvordan man skal behandle et varsel inklusive beslutningsnivåer og rapporteringsrutiner.

Det kan også tenkes interne interessemotsetninger i konkrete saker, og
disse kan forebygges ved at det finnes prinsipielle rutiner. I mange saker kan det være behov for bistand fra tredjeparter som har kompetanse innenfor granskning, og som også har mulighet til å gjøre undersøkelser i andre land. Oppdraget bør beskrives så spesifikt som mulig, både med hensyn til undersøkelsens omfang og kostnadsrammer, eventuelle trinn og faser i undersøkelsen, samt hva og hvordan man ønsker at resultatet skal rapporteres.

Evaluering og videreutvikling

Varslingssystemet bør som andre elementer i compliancesystemet være gjenstand for evaluering og en kontinuerlig videreutvikling. Dette kan gjøres i forbindelse med internrevisjon hvis virksomheten har det (forutsatt at internrevisjonen ikke har ansvar for varslingssystemet) eller ved eksterne evalueringer.

Reaksjoner på avvik, sanksjoner og korrigerende tiltak

Bedriften bør ha et enhetlig reaksjonsmønster for alvorlige brudd på eksterne lover og regler og interne retningslinjer. Disse bør være utformet på prinsipielt grunnlag og være retningsgivende for alle deler av virksomheten. Som eksempel kan nevnes interne regler om hvilke typer saker som skal anmeldes; det bør angis eventuelle beløpsgrenser for anmeldelse, og ikke minst hvilket beslutningsnivå som skal avgjøre slike saker for å forhindre forskjellsbehandling og at enkeltpersoner fatter feil beslutninger.

Utfordringer og erfaringer

Å etablere et varslingssystem er overkommelig for de fleste virksomheter. Det er viktig å ta hensyn til egenart, størrelse og risiko når man planlegger og implementerer rutiner. Det finnes mye god veiledning i artikler og faglitteratur, og det er også god tilgang på konsulentbistand både for etablering og selve driften av varslingssystemer hvis man skulle ønske en ekstern part til å ivareta det. En del utfordringer vil trolig være generelle enten man velger den ene eller andre løsningen, og nedenfor beskrives noen som bygger på praktiske erfaringer.

Kulturforskjeller

Varsling i Norge og vestlige land er godt etablert og kjent blant ansatte. Vår lederstil og bedriftsdemokrati, med høy grad av åpenhet og medbestemmelse, oppfatter varsling som et effektivt virkemiddel for en velfungerende organisasjon. I andre deler av verden, hvor lederstilen kan være mer autoritær og hierarkisk, og oppsigelsesvernet betydelig svakere, oppleves ikke alltid varsling som et virkemiddel de ansatte føler seg trygge på. Konkurransen mellom de ansatte for å fremme egen karriereutvikling
kan også være betydelig «skarpere» enn hva vi er vant med.

Varslingssystemet kan misforstås og/eller misbrukes for egen vinning, og dette kan gi utfordringer i vurderingen av innholdet i et varsel, spesielt når det er mer rettet mot person enn handling. Det kaller på en ekstra årvåkenhet og at man har fokus på de kritikkverdige forholdene og forsøker å skille det fra en eventuell personalkonflikt.

Det er viktig at man er oppmerksom på at det kan være to parter som har krav på vern i en slik prosess; både den som varsler og den det varsles om.

Det kan også være kulturforskjeller i en og samme bedrift, som kan gjøre det ekstra utfordrende å utforme retningslinjer som både er prinsipielle og konkrete nok til å dekke behov i ulike deler av virksomheten.

Hva er et kritikkverdig forhold?

Selv om de interne retningslinjene er forsøkt skrevet så konkret som mulig og eksempler er gitt, kan det likevel være vanskelig å avgjøre om et varsel gjelder et kritikkverdig forhold – og eventuelt avvise det. Det er viktig at man på prinsipielt grunnlag vurderer dette og f.eks. etablerer en fast gruppe som vurderer innkomne varsler, herunder hvem som skal saksbehandle varselet, og avgjør eventuelt avvisning av varselet. En avvisning bør alltid følges av en veiledning om en instans som vedkommende som har varslet kan henvende seg til. Hvis det f.eks. gjelder en personalkonflikt bør man få henvisning til HR avdelingen, verneombudet eller en tillitsvalgt. En variant kan være hvis det forhold det varsles om i utgangspunktet kan være svært alvorlig, men er lite spesifikt, og varsleren enten er anonym eller ikke ønsker å utdype varselet. Et eksempel på et slikt varsel kan være en påstand om at virksomheten i et spesifikt land eller prosjekt er drevet på en «uetisk måte», uten nærmere beskrivelse. Det bringer oss over i neste utfordring.

Undersøkelser av varsel – hva er «godt nok»?

Med bakgrunn i eksemplet i forrige avsnitt kan en mulig tilnærming være at compliance avdelingen eller internrevisjonen gjennomfører en risikoanalyse av den omtalte virksomheten eller prosjektet. Man kan analysere verdikjeden og vurdere hvor det kan være risiko for korrupsjon eller andre alvorlige lovbrudd. Analysen kan bestå av intervjuer med
ledelse, regnskapsgjennomgang med fokus på trender/avvik fra forventning, omfang av gaver/representasjon/sponsing, mediasøk for virksomheten, ledelsen og forretningspartnere, vurdering av bruk av
konsulenter, agenter og lobbyister.

Hvis ikke dette gir noen røde flagg, har man da gjort nok? Eventuelt hvor langt skal man gå hvis det dukker opp noen røde flagg? Og hvem skal bestemme om man har gjort nok? Det er ikke gitt et fasitsvar på slike utfordringer, og man bør tenke gjennom på forhånd hvordan man vil forholde seg til slike dilemmaer når man utformer rutiner for undersøkelser av varsler.

Oppsummert

Et velfungerende varslingssystem må bygge på tillit og ansvarlighet – og de
interne rutinene må være velfunderte og forankret både hos ledelse og de ansatte. Systemet må være godt planlagt og systematisk oppbygget utfra bedriftens egenart. Et godt tips er å tenke gjennom hvordan man vil behandle ulike saker som er kjent fra andre virksomheter og lage prinsipielle rutiner- før man står midt oppe i en sak i egen bedrift.